パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

2段階認証の発明者はキム・ドットコム氏?」記事へのコメント

  • 携帯端末必須ってのが気持ち悪いんだけど何とかしてくれね。
    たかが認証のために二年縛り契約の端末をつくらないといけないとか

    • どのみち、2段階認証を使っても「十分に複雑なパスワードを適切に管理する」のと本質的には変わらないので、「十分に複雑な~」がめんどくさいから嫌だという人は、携帯電話で代替できますよ、ぐらいのことじゃないかと。

      # 十分に複雑なパスワードを設定できないサービスもあるけど・・・それは論外。設定できるのが数字8桁のみとか。

      本来は、

      1. 十分に複雑なパスワードを使う
      2. 同じパスワードを異なるサービスで使い回さない

      という対策を常に心がける必要があるところ、2段階認証サービス対応なサービスのみを使うのであれば、両方を怠っても、怠らなかった時と
      • by Anonymous Coward on 2013年05月26日 23時58分 (#2388347)

        >どのみち、2段階認証を使っても「十分に複雑なパスワードを適切に管理する」のと本質的には変わらないので、「十分に複雑な~」がめんどくさいから嫌だという人は、携帯電話で代替できますよ、ぐらいのことじゃないかと。

        以前あった、Appleのクラウドが全削除された話を読むといいと思うよ。
        どんなに複雑なパスワードを使っていても、パスワードが漏れることも
        絶対にありえないというわけではない。

        「iCloudアカウントが乗っ取られiPhoneやiPad、MacBookが遠隔消去される」 http://apple.srad.jp/story/12/08/07/0947250/ [srad.jp]

        たしかこれの時に、いくつか出ていた対策の一つに「二段階認証を使っておけば良かった」が入ってたはず。
        #二段階認証が有名になったのもこの事件じゃなかったかな。
        #少なくとも自分が知ったのはコレだったと思う。

        親コメント
        • by s02222 (20350) on 2013年05月27日 12時42分 (#2388519)
          改善は期待できるにせよ、本質的には変わらないと思いますよ。あの事件は、大ざっぱには「パスワード無しに個人情報を書き換える(クレジットカードを追加登録する)方法があるサイト」と「パスワード以外の個人情報(クレジットカード情報)からパスワードリセット出来るサイト」とかを悪用した合わせ技でしたし。

          # あとは、簡単に推測できる情報を本人確認に使ったとかも

          2段階認証なアカウントに対して同じ攻撃をした場合、最後が「2段階認証用の携帯電話番号とパスワードを同時に変えたいんだけど」といういかにも胡散臭い申し出になるので、サービス提供者がそれを適切に蹴ってくれるならば安心です。「パスワードを変えたい」と同じプロセスで処理されてしまうなら、セキュリティは改善しないと思います。

          ただ、「両方を変えたいんだけど」の申し出がより丁寧に処理されるようになって安心、と言うのは期待できるかも知れません。 2段階認証に頼れば単純なパスワード使い回してもある程度大丈夫になるので、 ライトユーザを中心に、パスワードをリセットしなきゃならない場面も減るでしょう。 すると、その問い合わせが減る分だけ、サービス提供者は個々の問い合わせに対して厳密な本人確認を実施できるようになり、 パスワードリセット攻撃のハードルも上がる、とか。
          親コメント

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...