パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

2段階認証の発明者はキム・ドットコム氏?」記事へのコメント

  • 携帯端末必須ってのが気持ち悪いんだけど何とかしてくれね。
    たかが認証のために二年縛り契約の端末をつくらないといけないとか

    • by s02222 (20350) on 2013年05月26日 19時37分 (#2388279)
      どのみち、2段階認証を使っても「十分に複雑なパスワードを適切に管理する」のと本質的には変わらないので、「十分に複雑な~」がめんどくさいから嫌だという人は、携帯電話で代替できますよ、ぐらいのことじゃないかと。

      # 十分に複雑なパスワードを設定できないサービスもあるけど・・・それは論外。設定できるのが数字8桁のみとか。

      本来は、

      1. 十分に複雑なパスワードを使う
      2. 同じパスワードを異なるサービスで使い回さない

      という対策を常に心がける必要があるところ、2段階認証サービス対応なサービスのみを使うのであれば、両方を怠っても、怠らなかった時と同じぐらい安全に使える、と言うだけの話で。 総当たり攻撃なり推測されたなり、どっかで流出したなりでパスワードがバレても、携帯電話を見ないと攻撃者はそれ以上アクセスを進められない。

      # 0000とかの残念なパスワードに設定してどれぐらいひっきりなしにSMSが来るかをチェック、とか誰かやってみて欲しい(笑)

      パソコン上に限れば、適切なパスワード管理ツールでも同じ事。

      そもそもセキュリティ意識の無いユーザでも、あるべき姿のユーザ程度のセキュリティが確保できるというのも美味しい。ユーザに対してややこしい話をくどくどと啓蒙する必要も無く、「これを使え」と押しつけるだけで、ユーザはどうやってもそこそこ安全な使い方しか出来なくなる。

      実家の年老いた父なんかに安全な使い方を強要するのに便利。まあ、ついったーとかはやってらっしゃらないけど。
      親コメント
      • 「これを使え」と押しつけるだけで、ユーザはどうやってもそこそこ安全な使い方しか出来なくなる。

        本当にその通りだと思いますよ。
        Battle.netのmobile authenticatorのように、秘密鍵をユーザーに預けて漏洩してしまう危険性も少ない
        (事実、PCにバックアップしていた秘密鍵を抜かれたという話を聞いたことがある)

        親コメント
      • by Anonymous Coward

        >どのみち、2段階認証を使っても「十分に複雑なパスワードを適切に管理する」のと本質的には変わらないので、「十分に複雑な~」がめんどくさいから嫌だという人は、携帯電話で代替できますよ、ぐらいのことじゃないかと。

        以前あった、Appleのクラウドが全削除された話を読むといいと思うよ。
        どんなに複雑なパスワードを使っていても、パスワードが漏れることも
        絶対にありえないというわけではない。

        「iCloudアカウントが乗っ取られiPhoneやiPad、MacBookが遠隔消去される」

        • by s02222 (20350) on 2013年05月27日 12時42分 (#2388519)
          改善は期待できるにせよ、本質的には変わらないと思いますよ。あの事件は、大ざっぱには「パスワード無しに個人情報を書き換える(クレジットカードを追加登録する)方法があるサイト」と「パスワード以外の個人情報(クレジットカード情報)からパスワードリセット出来るサイト」とかを悪用した合わせ技でしたし。

          # あとは、簡単に推測できる情報を本人確認に使ったとかも

          2段階認証なアカウントに対して同じ攻撃をした場合、最後が「2段階認証用の携帯電話番号とパスワードを同時に変えたいんだけど」といういかにも胡散臭い申し出になるので、サービス提供者がそれを適切に蹴ってくれるならば安心です。「パスワードを変えたい」と同じプロセスで処理されてしまうなら、セキュリティは改善しないと思います。

          ただ、「両方を変えたいんだけど」の申し出がより丁寧に処理されるようになって安心、と言うのは期待できるかも知れません。 2段階認証に頼れば単純なパスワード使い回してもある程度大丈夫になるので、 ライトユーザを中心に、パスワードをリセットしなきゃならない場面も減るでしょう。 すると、その問い合わせが減る分だけ、サービス提供者は個々の問い合わせに対して厳密な本人確認を実施できるようになり、 パスワードリセット攻撃のハードルも上がる、とか。
          親コメント
      • by Anonymous Coward

        私はそうは思わないですね。
        どんなに複雑なパスワードを使っていてもパソコンにキーロガーを
        設置されてパスワードを盗まれたら終わりですし、(特にスマホでない)
        携帯電話なら同時に落とすのが難しい分、セキュリティ的に堅くなっていると
        思います。

        • by s02222 (20350) on 2013年05月27日 13時22分 (#2388558)
          SMSで送られてくる2段階認証用のコードも、結局、そのキーロガー付きキーボードから入力することになるのでそんなには変わりませんよ・・・。

          まあ、「漠然とした一般的な攻撃」に対する耐性は上がりますから、全くの無駄ではないですが。 2段階認証用のコードは、正しくサイトに送られた時点で無効となるワンタイムパスワードになっていて使い回しが出来ないので、 「漠然と押されたキーを記録して後で攻撃者に送る」タイプのロガーだったら、攻撃者に送られた時点でコードは無効になってますし。 アカウント乗っ取りのチャンスは、「コードが入力された」あと「ENTERキーが入力される」前の一瞬ぐらいなので、 そこを狙う、より高度なマルウェアでなければ、攻撃が成立しません。

          ただ、キーロガーを仕込むのって、OSのセキュリティ的な観点から見て、遠隔操作ウィルスを仕込むのと大差ない話なので、 そんなややこしいことをせず、ユーザが2段階でログインした後のブラウザを遠隔操作してやれば良いんですが・・・。

          もちろん、一操作毎に2段階認証をかければ、また話は違ってきますが。ツイッターであれば、1ツイート毎に携帯に送られてきたコードを入力しないとダメ、とすると幾分マシになるかも知れません。ですが、既存の2段階認証のサイトを見る限り、そういう使いづらいUIにはなっていません。

          まあ、基本的に、キーロガーを仕込まれるような致命的な状態で何を考えても無駄だと思いますよ。

          ただ、ちょっと興味深いので突っ込んで考えてみましたが、出先の信用できないネカフェの端末からログインせざるを得ないような場合に、 2段階認証を上手く使うと、ログイン中に何かしらの攻撃を受ける可能性だけは諦めればばなんとかなる、みたいな切り口はあり得ると思います。

          その場合、その信用できない端末上で「ログアウト」ボタンを押しても意味がない(その端末に攻撃の意図があるなら、ログアウト操作を無視してセッションを維持して、ユーザが立ち去った後も悪用を続ければよい)ので、別途、確実にログアウトする方法を用意する必要とか、細かく考え出すと色々ありますが・・・。

          「2段階認証のコードを送ってきたSMSに返信すればログアウト」とか「何があっても1時間でログアウトする(サーバ側でセッションを無効化する)」とか「このログインは読むだけ、発言は1ツイート毎に2段階認証する」みたいなオプションを用意するとか。 ついでに、ユーザがブラウザ上で「そのオプションを選んだ」というのを、怪しい端末がその通りに処理するかどうか信用できないので、「このオプションを選んだときのみ、2段階認証のコードの1文字目が『0』に固定され、いつもより1文字長くなります。送られてきたコードが確実にそうなっていることを確かめて下さい」みたいに、信用できない端末を経由しない方法でユーザの希望通りの操作になっていると確認出来るような対策も必要でしょうか。ツイートをするなら、「この文章でツイートするならこのコードを入力」みたいなSMSが送られてくる、など、ツイートの内容に関しても。

          ツイッターだと、もうSMS経由でツイートできる仕組みを作れよ、って話になると思いますが、まあ、gmailなんかのウェブメールサービスとかそう言うので。
          親コメント

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...