アカウント名:
パスワード:
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。
しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、
Googleにばかり矛先向けようとしてるけど、2要素認証のカギである電話まで盗んでる前提の時点で極論すぎその状態で守れないケースがあるのはむしろ自然であって批判するところではない典型的な「キチガイセキュリティ」に成り下がってるよ
新しい仕組みを提案するなら、アンチGoogle思考を捨ててもっと広い範囲に訴求したら?
ほんとそれ。物理的にデバイスをアクセスされてる時点でアウトでしょ。「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。セキュリティネタは脅すだけでホイホイとプラスモデはいるんでマジ釣り堀だわ。
「物理的にデバイスをアクセスされてる時点でアウト」って・・・デバイスを盗まれたら諦めるんですか?
携帯電話のロックって「物理的にデバイスが奪われた」場合の対策でしょうに何の為に遠隔初期化等の機能があると思っているんでしょうか
遠隔初期化と二段階認証、全然関係ないやん
二段階認証は認証時の多段ステップ確保でしかなくて、盗難及び初期化を防ぐ手段ではないよそれなのに二段階認証破るには盗難すれば簡単。だからGoogle悪いって、ただのキチガイやん
まあ Printable is bad. (38668) だから、かわいそうな人を見る目で見てあげなよ今までの文章を見ればこの人が誇大妄想にとりつかれている人なのはわかるだろ
Printable is bad. (38668) みたいな物言いって一見なるほど、そうなんだぁって思うけどよく読んでみると頓珍漢なアレゲ。こわいこわい
具体的に反論できずに何言ってるんスかねあんたら。
> それなのに二段階認証破るには盗難すれば簡単。だからGoogle悪いって、ただのキチガイやん2要素のうちの面倒くさい方だからといって、2要素が1要素になってる事に変わりはないと思いますが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキング) (スコア:4, 参考になる)
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。
しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、
Re: (スコア:2, 興味深い)
Googleにばかり矛先向けようとしてるけど、2要素認証のカギである電話まで盗んでる前提の時点で極論すぎ
その状態で守れないケースがあるのはむしろ自然であって批判するところではない
典型的な「キチガイセキュリティ」に成り下がってるよ
新しい仕組みを提案するなら、アンチGoogle思考を捨ててもっと広い範囲に訴求したら?
Re: (スコア:0)
ほんとそれ。物理的にデバイスをアクセスされてる時点でアウトでしょ。
「PCに物理アクセスされたら終わり」「銀行のワンタイムパスワード生成器を盗まれたら終わり」と言ってるのと何も変わらないよねえ。
セキュリティネタは脅すだけでホイホイとプラスモデはいるんでマジ釣り堀だわ。
Re: (スコア:0)
「物理的にデバイスをアクセスされてる時点でアウト」って・・・
デバイスを盗まれたら諦めるんですか?
携帯電話のロックって「物理的にデバイスが奪われた」場合の対策でしょうに
何の為に遠隔初期化等の機能があると思っているんでしょうか
Re:Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキ (スコア:0)
遠隔初期化と二段階認証、全然関係ないやん
二段階認証は認証時の多段ステップ確保でしかなくて、盗難及び初期化を防ぐ手段ではないよ
それなのに二段階認証破るには盗難すれば簡単。だからGoogle悪いって、ただのキチガイやん
Re: (スコア:0)
まあ Printable is bad. (38668) だから、かわいそうな人を見る目で見てあげなよ
今までの文章を見ればこの人が誇大妄想にとりつかれている人なのはわかるだろ
Re: (スコア:0)
Printable is bad. (38668) みたいな物言いって一見なるほど、そうなんだぁって思うけど
よく読んでみると頓珍漢なアレゲ。こわいこわい
Re: (スコア:0)
具体的に反論できずに何言ってるんスかねあんたら。
> それなのに二段階認証破るには盗難すれば簡単。だからGoogle悪いって、ただのキチガイやん
2要素のうちの面倒くさい方だからといって、2要素が1要素になってる事に変わりはないと思いますが。