アカウント名:
パスワード:
ユーザ名とパスワードが分かっていれば、2段階認証を無効化できるってこと?
2段階認証はIDとパスワードを盗んでも物理的なトークン(たいていはAndroidスマートフォンとか)がないと入れないはずが、トークンを触らないでもIDとパスだけでなんとかして通る方法が見つかった。そこから設定が全部いじれるから、「IDとパスを盗まれてもトークンをいじれないと入れない」というのが崩れた。で、修正済み(らしい)。
なるほど。
ただ普通のパスワードと違って「アプリ固有のパスワード」は各アプリごとの使い捨てパスワードだから、最初に各アプリ毎に設定する時に使った後は、パスワードの記録は廃棄するのが基本。
アプリ内部に(おそらくは難読化して)保存されている物を吸い出さない限りは、第三者がそれを取得するのは無理なはずなので、やっぱり難易度は高いと思う。
#フィッシングで入力させたり、パスワードのメモを盗み見したり、他のサービスで使ってる#パスワードと同じのを使っているのを他サービスから攻略するなどの手段は不可能なはず。
まあでもそれを言えば言うほど2段階認証の意義をdisる態になりますからね。
誤変換も含め、なにを言ってるかマジで分からん。
disる(=ディスる)態(てい) → ののしるありさま
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
何が問題なのか分からない (スコア:0)
ユーザ名とパスワードが分かっていれば、2段階認証を無効化できるってこと?
Re: (スコア:3)
2段階認証はIDとパスワードを盗んでも物理的なトークン(たいていはAndroidスマートフォンとか)がないと入れないはずが、トークンを触らないでもIDとパスだけでなんとかして通る方法が見つかった。そこから設定が全部いじれるから、「IDとパスを盗まれてもトークンをいじれないと入れない」というのが崩れた。で、修正済み(らしい)。
Re: (スコア:1)
なるほど。
ただ普通のパスワードと違って「アプリ固有のパスワード」は各アプリごとの使い捨て
パスワードだから、最初に各アプリ毎に設定する時に使った後は、パスワードの記録は
廃棄するのが基本。
アプリ内部に(おそらくは難読化して)保存されている物を吸い出さない限りは、
第三者がそれを取得するのは無理なはずなので、やっぱり難易度は高いと思う。
#フィッシングで入力させたり、パスワードのメモを盗み見したり、他のサービスで使ってる
#パスワードと同じのを使っているのを他サービスから攻略するなどの手段は不可能なはず。
Re: (スコア:0)
まあでもそれを言えば言うほど2段階認証の意義をdisる態になりますからね。
Re:何が問題なのか分からない (スコア:0)
誤変換も含め、なにを言ってるかマジで分からん。
Re: (スコア:0)
disる(=ディスる)態(てい) → ののしるありさま