パスワードを忘れた? アカウント作成
8978289 story
Twitter

Twitterの2段階認証、企業などの公式アカウントでは役に立たない? 16

ストーリー by headless
認証 部門より
AP通信など大手メディアの公式アカウント乗っ取りが相次いだことを受けてTwitterでは2段階認証を導入したが(日本では未導入)、企業などの公式アカウントでは利用できない可能性をSophosが指摘している( Naked Securityの記事PCMag.comの記事本家/.)。

Twitterの2段階認証ではログインの際、登録した携帯電話番号にSMSで認証コードが送信される。この認証コードを入力することでログインが完了する仕組みだが、企業などの公式アカウントは複数のスタッフが共有していることが多い。2段階認証で登録できる携帯電話番号は1つだけなので、このようなアカウントで2段階認証を有効にするのは難しいとしている。

一方、2段階認証を有効にした場合も、フィッシングサイトを使用した攻撃に引っかかってしまえば簡単に突破されてしまうという。セキュリティー企業ToopherのCEO、Josh Alexander氏の解説によれば、攻撃者は攻撃対象となるユーザーをフィッシングサイトに誘導して偽のログイン画面でTwitterのログイン情報を入力させる。入力された情報を使用して攻撃者がTwitterにログインすると、ユーザーの携帯電話に認証コードが送信される。あとは偽の認証コード入力画面で認証コードを入力させれば、攻撃者は必要な情報をすべて入手できることになるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • そもそも複数のユーザが「1つのIDを共有している」時点で、何かおかしいような気がします。
    面倒だから上司のIDとパスワードを借りてログインする、というような行為と同じにおいがします。

    簡単でないのはわかっていますが、企業向けに複数の別のIDで、ひとつのアカウントにログインできるような仕組みが必要だと思います。
    万が一の際には、誰から漏れたのかわかりやすくなってよさそうですし。
    • by Anonymous Coward

      企業向けならSSL証明書と連動できればどうかな

  • by Anonymous Coward on 2013年05月26日 15時52分 (#2388177)

    って当たり前の事を言われましても…(困惑)

    • by Anonymous Coward

      そうですよね。
      もともとスパムSMSの送信先番号を入手するための言ってみればこのシステム自体がフィッシングの一種ですからね。

      • by Anonymous Coward

        Twitterはどうか知りませんが、GoogleやDropbox、Microsoftの2段階認証はSMSなんか必要ないですよ。

  • とベンダーが揉み手のアップを始めました(笑)

    とりあえず三か月遅れで日本で発表になったSymantec O3あたりは使えるんじゃないかと。

    企業内利用者はSymantecに対してのシングルサインオンで入れて、クラウドサービスのパスワードは利用者にもわからない(ので退職とかで権限なくなったらアクセスできない)とのこと。

    ※それってO3にパスワード預けますってサービスだよなぁ(´・ω・`)

    • え、それってそのシステムが実際のサービスを叩いてログインするんですよね、なんか危険な香りが…利用者はクラウドサービスのパスワードリセットもできなそう

      親コメント
      • by Anonymous Coward

        え、それってそのシステムが実際のサービスを叩いてログインするんですよね、なんか危険な香りが…利用者はクラウドサービスのパスワードリセットもできなそう

        そういう説明でした。パスワード管理は管理者がコンソールでやると思います。
        (どうせやるなら毎日勝手に変えちゃうのもいいと思うんですが、さすがにそこまでしないと思う)

        クラウドベンダーからするとO3管理のIPアドレス経由でしかサインインされないので、そこ以外ログインできないオプションがあるといいかもしれない。ただ、Symantecだからまだ何とかなるにしても、振興ベンダーだと信用されないだろうなぁ

    • by Anonymous Coward

      スクエニが導入したような
      一時キーを出力する端末を販売するとかはいいんじゃないかなあ?

      2段階認証orハードみたいな感じで

      • by Anonymous Coward

        一時キーを出力する端末

        それなんてRSAトークン?

      • by Anonymous Coward
        スクエニが導入したもの、それそのものを2段階認証(2要素認証)と呼ぶんですが...
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...