0001すらいむ ★2021/12/13(月) 10:02:12.05ID:CAP_USER
0026名無しのひみつ2021/12/13(月) 12:11:07.79ID:h842mmA/
>>2
物理的な攻撃対象が判れば
100%突破する 0029名無しのひみつ2021/12/13(月) 12:56:22.38ID:PuDVN196
はい 論破
・ハッカーはまず、ユーザーに「お客様のユーザーアカウントが不審なIPアドレスからのアクセスを受けました。確認のため、電話番号に送信された認証コードを返信してください」といったメッセージを送信する。
・ハッカーは次に、ユーザーの代わりにIDとパスワードを入力して侵入したいサービスにログインする。
・サービスは、正規ユーザーからログインされたと勘違いしてユーザーに2FA用の認証コードを送る。
・ユーザーがその認証コードをハッカーに返信してしまう。
シナリオ2:ハッカーがまだIDやパスワードを持っていない場合
・ハッカーは最初に、正規のサービスからのメールに見せかけた巧妙なメールをターゲットに送る。
0030名無しのひみつ2021/12/13(月) 13:30:31.20ID:piO4g6wq
>>20
ハードウェアトークンもソフトウェアトークンもSMSも、
なんならメールへのワンタイムパス送付も、セキュリティ強度は同じ
番号が攻撃者にバレたところで何の影響もない
それで問題になる1のような手法だと、そもそもどんな二要素認証でも突破されるが…偽のサイトでバイパスって現実的じゃないよなぁ 0031名無しのひみつ2021/12/13(月) 13:33:29.10ID:xAX37NM3
1セッション2FAがだめなら2セッション2FAにすればいいじゃない
0032名無しのひみつ2021/12/13(月) 13:33:29.10ID:xAX37NM3
1セッション2FAがだめなら2セッション2FAにすればいいじゃない
0033名無しのひみつ2021/12/13(月) 13:34:49.41ID:qlpOCzoj
クソゴミ認証
0034名無しのひみつ2021/12/13(月) 13:37:15.05ID:TTre21wS
おまえら、メルカリのアプリで免許証持って顔写真撮影したの?
マンインザミドルを前提にするとどんなセキュリティでも担保出来ないというのは置いておき、
本人がその場で発行する必要があるので強度は同じだと思うけど、
電話での認証だとメッセージ経由でフィッシングに引っ掛かりやすいってのはあるかもね。多少無理感はあるが。
記事最後まで読んだらただの宣伝だった
やられたわw
>>35
アホ
MITMならIPアドレス違うのだからEV SSL証明で見分けられる
ブラウザがクラックされて上記を偽装されてるなら、そもそもクラック被害を受けているから詰み パスワードという知識要素以外に他の要素も組み合わせるから二要素認証として
セキュリティが高まるんであって、その要素が「認証番号」じゃあ片手落ちなんだよね
結局パスワード2つ入力させる程度の役にしか立ってない
霞ヶ関と間違って霞ヶ浦が標的になったときは、ハッカーは誤爆を謝ってたよね。
0040名無しのひみつ2021/12/13(月) 14:39:39.93ID:nVBtQhpB
ウワッチ・・・
つい1週間ほど前にやっちまったわ。
美術館の特別展が密を防ぐと言うので厳密な入場制限と予約優先やってて電話番号に届いたショートメールの暗証番号を打ちこんでしまったわ。
その時から15億4千万円当選しましただの寂しい熟女だの家出少女だのスパムメールが再び
0041名無しのひみつ2021/12/13(月) 14:44:35.99ID:Vpwis4jD
3要素になるの?
0042名無しのひみつ2021/12/13(月) 14:58:05.29ID:qIBFYTRg
>>29
最初のコードを返信するやついるか?
って100人送れば1人ぐらいいるから破られるんだろうな 0043名無しのひみつ2021/12/13(月) 14:59:06.79ID:50AlUov2
とっくに変わっているじゃん。
認証コードの入力ではダメ。
携帯電話そのものを手に持っていて、はいを押さないとダメになった。
ハッカーは、電話そのものがないから、はいを押せないじゃんw
0044名無しのひみつ2021/12/13(月) 15:10:10.68ID:4BNfUri9
FAX最強伝説
0045名無しのひみつ2021/12/13(月) 15:52:49.28ID:fEXq7wke
【韓国】将来が不安なら、日本留学も考慮してみよう[12/11] [ハニィみるく(17歳)★]
0046名無しのひみつ2021/12/13(月) 15:52:49.56ID:fEXq7wke
【韓国】将来が不安なら、日本留学も考慮してみよう[12/11] [ハニィみるく(17歳)★]
0047名無しのひみつ2021/12/13(月) 16:18:55.71ID:oWzP2jaw
電話番号なんて怖くて一度も登録したこと無いです
0048名無しのひみつ2021/12/13(月) 16:21:42.07ID:oWzP2jaw
長崎じゃ車のナンバープレートから住所名前電話番号まで簡単に入手する公的期間の職員がいるから ((( ;゚Д゚)))ガクガクブルブル 怖い
0049名無しのひみつ2021/12/13(月) 16:24:02.54ID:4aKwZwGX
なんか内容が微妙だなと思ったらPR記事かよ
例として挙げられてる方法がどれもあまり現実的ではない
SMSってGSM経由することがあるから元々安全じゃないけど、それ以前にフィッシングで本人から聞き出せばどうにでもなるわな
0053名無しのひみつ2021/12/13(月) 17:49:51.53ID:IY8Zc5jD
0054名無しのひみつ2021/12/13(月) 17:51:26.62ID:+cAtwTa3
グーグルのやつめんどくさい
0055名無しのひみつ2021/12/13(月) 17:56:16.64ID:rF4iXINa
使いまわしてないパスワードなら
変える必要ないのに
相変わらず定期的に変えろと
アナウンスしてくるとこ多いな
0056名無しのひみつ2021/12/13(月) 18:15:02.77ID:SD9gjne9
>>2
対人戦だから必ず新しい 0 day attack というガード不能連携を用意してくるぞ 0057名無しのひみつ2021/12/13(月) 18:20:56.27ID:DOPhJCk4
これからは肛門の皺認証の時代
0058名無しのひみつ2021/12/13(月) 19:42:08.03ID:/uweS13Z
2段階認証に脆弱性があるんじゃなくて、2段階認証で安心してるユーザーを
騙す手口があるってだけの話だった。
0059名無しのひみつ2021/12/13(月) 20:03:08.32ID:NAcUt+1p
これ迷惑 外国で使えない
>>2
どんな秘密もハッカーまで持っていくって言うだろ 0061名無しのひみつ2021/12/13(月) 21:57:50.38ID:1xvn4qaI
ソース見てやっぱりなーって思ったけど、保険なんて入ってないのにアフラックからメールが何件も入ってたんだよね
親が勝手に入ってるのかとちょっと思ったけど、そのメアドって親に教えてないんだわ
凄くよく出来てたけど、フィッシングメールだったんだな
0064名無しのひみつ2021/12/13(月) 22:28:53.31ID:WhzT74v5
スマホ置いて席を外した隙に二要素認証のサービスをそいつの電話番号で登録
送られてきた通知のパスワードを覗き見てすかさず登録
そういえば反ワクって二要素認証にはケチつけないよな。
「三要素認証、四要素認証と永久に増やし続けないといけないドーピング体質」っていうのは聞いたことがない。
時代とともに数が増えているものなんてワクチン摂取数や認証段階に限らないと思うけどな。cpuのトランジスタ数なんて8086から比べたらワクチンの回数なんてお話しにならないくらい増えてんのにな
アイツラ認証には恨みはないけどワクチンには親殺されたとかなんかか?
0067名無しのひみつ2021/12/14(火) 10:31:15.81ID:S8sVoCby
「セキュリティのために、貴方のお母さんの旧姓も入力してください」
「セキュリティのために、飼っていた犬の名前も入力してください」
「セキュリティのために、貴方の本籍も入力してください」
「セキュリティのために、貴方の銀行口座のパスワードも入力してください」
0068名無しのひみつ2021/12/14(火) 11:31:45.30ID:lmBidazb
0069名無しのひみつ2021/12/14(火) 23:44:26.04ID:jjR97NKh
超ウィザード級ハッカー
0070名無しのひみつ2021/12/15(水) 09:49:19.55ID:kSNUKrQ8
フィッシングにひっかかるアホには効果無いって話だな
0071名無しのひみつ2021/12/15(水) 21:49:01.92ID:v6t31/9g
ログインしようとするやつの
本人確認って意味では有効なんじゃねえの 本人確認以外にセキュリティ的に何か必要か 不足ならワンタイムパスワードでいけばいいんじゃね
0073名無しのひみつ2021/12/15(水) 22:13:21.53ID:CmyTaKaY
2 factor authorityだっけ?
何でもかんでも携帯番号に紐付けすればいいってもんじゃないけどね
ひと昔前の楽なアカウント管理に戻りたい
パスワード2つでもいいから前の方が楽だった
0074名無しのひみつ2021/12/15(水) 23:07:56.57ID:T5LWJfg0
そもそもアカウント不要
0075名無しのひみつ2021/12/16(木) 07:32:14.58ID:GFN4+plC
結局スタンドアロン最強という事でFA
電子セキュリティより物理的セキュリティの方が遥かに楽だ
FAXでいいじゃん
めんどくさい?しらんがな