アカウント名:
パスワード:
ので反対ですね。むしろそこでワンクッション置かないと。
自動化=悪用者の付け入る隙がなくなるので賛成です。
SMS認証の自動化はフィッシング詐欺のリスクを大きく低減するものです。一般的に、自動化による悪用リスクが手動入力の悪用リスクを上回ることはありません。
同様に認証情報の自動送信を行うことのできるパスワードマネージャの例で考えると、ドメイン譲渡やドメイン名ハイジャックによりドメイン管理者が入れ替わっているのに認証情報を自動送信してしまい不正ログインに悪用されるケースが考えられますが、ワンクッション置いたり手動入力にしたところで防げるとは考えにくいです。
アプリ毎に対応が違う前提ならば、何かあった時に自社だけでさっさとやり方変化させられるからね。共通化して問題意識の共有からやらないといけないってよりは、悪用対策も可能になる可能性は高いよね。
具体的にどんな悪用が考えられます?
悪用者がログインして、悪用者にSMSが行った時点でアウトな気が。通常ユーザーが認証コードを受け取っても無視すればいいし、SMS届いた時点で強制的に認証画面に飛んで入力するわけじゃないでしょうし。
アプリやブラウザが該当のURLを認識して今まさにそこで認証中だったら、だと思うけどなさすがに(根拠なし
こないだこんな感じに動いた(SMS中のコードが勝手にブラウザに入った)ような気がしたけど気のせいだったんかなGoogleの何か+Chromeだともうやってるのかも
androidの一部アプリでのSMS認証がそんな感じの動きしますね。そのためだけに使うと言われてもアプリにSMS権限ほいほい渡したく無いのですが
アプリにSMS権限ほいほい渡すのは問題だということで今年になって審査が厳格化されてます。
2019年3月、GoogleはAndroidアプリにおけるSMSと通話ログへのアクセス許可情報(パーミッション)の使用を制限 [google.com]しました。これにより、認証情報を盗むアプリは、これらのアクセス許可を悪用してSMSベースの2要素認証(2FA)メカニズムを迂回できなくなりました。
https://www.eset.com/jp/blog/welivesecurity/malware-google-permissions... [eset.com]
このような方法に代わり、SMS認証フォーマットが標準化されれば、SMSクライアントアプリからインテントを通じて他アプリに認証コードを引き渡すことで、安全かつ自動でのSMS認証が出来るはずです。
他アプリ用の認証情報インテントを盗み見るとか出てきそうかな?メッセージ中のUrlは直接認証ページのものではないほうが良さそうやねと言うかurlじゃなくてそのソルト付きハッシュとかじゃないと安心できないか?頭のいい人が考えてくれるやろうけども
認証するドメインにapple-app-site-associationだのmanifest.jonだのファイル置いておいて、そこに記載されているIdentifierのアプリのみ見れるようにすれば読み取れないですね。というのを既にパスワードの自動入力でやっているので。
iOSでもinput要素にautocomplete="one-time-code"を付けておけば自動で入力されるようです。
https://www.google.com/search?q=autocomplete%3D%22one-time-code%22&... [google.com]
アプリまたはブラウザでコード入力画面になってることが前提でしょうね。いきなりコードが送られてきた場合にまでログインさせるんだったら2要素の意味ないし。
現状のiOSのSafariでもログインしてコード入力画面で待ってる時にOTPコード飛んできたら、1タップで入力するための表示が出てきますね。フォーマットが違うとこれを出せない場合があるから統一しない?ってことじゃないかと。
でも考えてみたら、全世界的に統一されて居れば一斉に行うだけで一定数は引っかかる人間が出て来る訳だよな。個人の印象だと「そんなの偶にしか」だけど、母数がデカいとシャレにならんかも。
全世界的に統一されて居なければ更に多くの人間が引っかかり続けてしまうけどいいの?
いいよ。俺が許可する
神奈川県警さんコイツです!
Excelの集計結果を確認するために電卓で検算するとか、定期的なパスワードの変更のようなものですね。それによって安全が確保されるわけではないけど、使用者の「納得」「安心感」が目的のワンクッション。
> Excelの集計結果を確認するために電卓で検算するとか、定期的なパスワードの変更のようなものですね。
どちらもバッド・ノウハウですね
「認証コード入力は手動でなければ」というのもそれらと同類という意味なんですが
真っ先にそう思った。ということはGoogleもAppleもそう思ってるはず。
しかしセキュリティなんか気にしない層の「入力が面倒」という声が、よほど大きかったのではないだろうか。利益優先の営利企業の判断としては、その声を受けて自動化するというのも十分ありうる。俺でもそうする。
>セキュリティなんか気にしない層この場合は「うるせえ黙れ」でいいと思うんだけどなあ
今の時点で、iPhone/iPadで認証パスワードやワンタイムパスワードをSMSで受信したら、アプリによってはメッセージから自動入力してくれるじゃないか。これは別なの?
SMSのフォーマットが統一されていないせいでできない時がある。ので今回の提案。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
自動化しやすい=悪用者も自動化しやすい (スコア:2, 興味深い)
ので反対ですね。
むしろそこでワンクッション置かないと。
Re:自動化しやすい=悪用者も自動化しやすい (スコア:2)
自動化=悪用者の付け入る隙がなくなるので賛成です。
SMS認証の自動化はフィッシング詐欺のリスクを大きく低減するものです。一般的に、自動化による悪用リスクが手動入力の悪用リスクを上回ることはありません。
同様に認証情報の自動送信を行うことのできるパスワードマネージャの例で考えると、ドメイン譲渡やドメイン名ハイジャックによりドメイン管理者が入れ替わっているのに認証情報を自動送信してしまい不正ログインに悪用されるケースが考えられますが、ワンクッション置いたり手動入力にしたところで防げるとは考えにくいです。
Re: (スコア:0)
アプリ毎に対応が違う前提ならば、何かあった時に自社だけでさっさとやり方変化させられるからね。
共通化して問題意識の共有からやらないといけないってよりは、悪用対策も可能になる可能性は高いよね。
Re: (スコア:0)
具体的にどんな悪用が考えられます?
悪用者がログインして、悪用者にSMSが行った時点でアウトな気が。
通常ユーザーが認証コードを受け取っても無視すればいいし、SMS届いた時点で強制的に認証画面に飛んで入力するわけじゃないでしょうし。
Re: (スコア:0)
ZDNetの記事には
> Apps and browsers will automatically extract the OTP code and complete the 2FA login operation.
ってあるから、その通りなら端末が受信した時点で自動的に抽出してログインさせちゃうって事なんじゃないかと。
Re:自動化しやすい=悪用者も自動化しやすい (スコア:2)
アプリやブラウザが該当のURLを認識して今まさにそこで認証中だったら、だと思うけどなさすがに(根拠なし
こないだこんな感じに動いた(SMS中のコードが勝手にブラウザに入った)ような気がしたけど気のせいだったんかな
Googleの何か+Chromeだともうやってるのかも
Re: (スコア:0)
androidの一部アプリでのSMS認証がそんな感じの動きしますね。
そのためだけに使うと言われてもアプリにSMS権限ほいほい渡したく無いのですが
Re:自動化しやすい=悪用者も自動化しやすい (スコア:1)
アプリにSMS権限ほいほい渡すのは問題だということで今年になって審査が厳格化されてます。
https://www.eset.com/jp/blog/welivesecurity/malware-google-permissions... [eset.com]
このような方法に代わり、SMS認証フォーマットが標準化されれば、SMSクライアントアプリからインテントを通じて他アプリに認証コードを引き渡すことで、安全かつ自動でのSMS認証が出来るはずです。
Re: (スコア:0)
他アプリ用の認証情報インテントを盗み見るとか出てきそうかな?
メッセージ中のUrlは直接認証ページのものではないほうが良さそうやね
と言うかurlじゃなくてそのソルト付きハッシュとかじゃないと安心できないか?
頭のいい人が考えてくれるやろうけども
Re: (スコア:0)
認証するドメインにapple-app-site-associationだのmanifest.jonだのファイル置いておいて、そこに記載されているIdentifierのアプリのみ見れるようにすれば読み取れないですね。というのを既にパスワードの自動入力でやっているので。
Re: (スコア:0)
iOSでもinput要素にautocomplete="one-time-code"を付けておけば自動で入力されるようです。
https://www.google.com/search?q=autocomplete%3D%22one-time-code%22&... [google.com]
Re: (スコア:0)
アプリまたはブラウザでコード入力画面になってることが前提でしょうね。いきなりコードが送られてきた場合にまでログインさせるんだったら2要素の意味ないし。
現状のiOSのSafariでもログインしてコード入力画面で待ってる時にOTPコード飛んできたら、1タップで入力するための表示が出てきますね。フォーマットが違うとこれを出せない場合があるから統一しない?ってことじゃないかと。
Re: (スコア:0)
でも考えてみたら、全世界的に統一されて居れば一斉に行うだけで一定数は引っかかる人間が出て来る訳だよな。
個人の印象だと「そんなの偶にしか」だけど、母数がデカいとシャレにならんかも。
Re: (スコア:0)
全世界的に統一されて居なければ更に多くの人間が引っかかり続けてしまうけどいいの?
Re: (スコア:0)
いいよ。俺が許可する
Re: (スコア:0)
神奈川県警さんコイツです!
Re: (スコア:0)
Excelの集計結果を確認するために電卓で検算するとか、定期的なパスワードの変更のようなものですね。
それによって安全が確保されるわけではないけど、使用者の「納得」「安心感」が目的のワンクッション。
Re: (スコア:0)
> Excelの集計結果を確認するために電卓で検算するとか、定期的なパスワードの変更のようなものですね。
どちらもバッド・ノウハウですね
Re: (スコア:0)
「認証コード入力は手動でなければ」というのもそれらと同類という意味なんですが
Re: (スコア:0)
真っ先にそう思った。
ということはGoogleもAppleもそう思ってるはず。
しかしセキュリティなんか気にしない層の「入力が面倒」という声が、よほど大きかったのではないだろうか。
利益優先の営利企業の判断としては、その声を受けて自動化するというのも十分ありうる。俺でもそうする。
Re: (スコア:0)
>セキュリティなんか気にしない層
この場合は「うるせえ黙れ」でいいと思うんだけどなあ
Re: (スコア:0)
今の時点で、iPhone/iPadで認証パスワードやワンタイムパスワードをSMSで受信したら、アプリによってはメッセージから自動入力してくれるじゃないか。これは別なの?
Re: (スコア:0)
SMSのフォーマットが統一されていないせいでできない時がある。ので今回の提案。