X



【セキュリティ】電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない [すらいむ★]
■ このスレッドは過去ログ倉庫に格納されています
0001すらいむ ★
垢版 |
2021/12/13(月) 10:02:12.05ID:CAP_USER
電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない

 ネットサービスのアカウントを作ろうとして、「セキュリティのために電話番号も入力してください」とのメッセージに遭遇したことがある人は多いはず。
 パスワードと電話番号に届いた認証コードの両方でログインする「2要素認証(2FA)」は強力なセキュリティとして重宝されていますが、ハッカーにとってはほとんど無意味だとセキュリティ企業が警鐘を鳴らしています。

 Bypassing 2FA - Secret double octopus
 https://doubleoctopus.com/blog/threats-and-alerts/bypassing-2fa/

(以下略、続きはソースでご確認ください)

Gigazine 2021年12月12日 20時00分
https://gigazine.net/news/20211212-bypassing-2fa/
0002名無しのひみつ
垢版 |
2021/12/13(月) 10:04:22.01ID:plIlADeA
ハッカーってどんだけすごいの?
0004名無しのひみつ
垢版 |
2021/12/13(月) 10:21:53.82ID:/QEpA9Ss
パスワードレス認証を事業にしてる企業の広告やんけ
0006名無しのひみつ
垢版 |
2021/12/13(月) 10:23:33.81ID:Z/wfMnyo
なら、どうしろって感じだが
0008名無しのひみつ
垢版 |
2021/12/13(月) 10:37:49.81ID:cRJPgPQm
んー、要はフィッシングで破ってるだけで
あんまりクラッカーらしさが感じられないなw
0009名無しのひみつ
垢版 |
2021/12/13(月) 10:39:52.28ID:0Bn9Grjf
ブラウザ攻撃の男がすごいってことはよくわかった
0010名無しのひみつ
垢版 |
2021/12/13(月) 10:42:02.40ID:0Bn9Grjf
いいたことは一言です。シークレットダブルオクトパスの
OctopusAuthenticatorを買ってください!
OctopusAuthenticatorを買ってください!
OctopusAuthenticatorを買ってください!



すべての雹のパスワードなしの認証
この混乱から抜け出す方法は簡単です?パスワードを手放します。

シークレットダブルオクトパスのOctopusAuthenticatorは、
人間がパスワードを考え出し、管理し、記憶し、入力する必要のない、
シームレスで数学的に破られない認証を提供する唯一のパスワードレスソリューションで
Octopusは、ユーザーエクスペリエンスからパスワード関連の煩わしさ
完全に排除しながら、最高の認証保証を提供します。


シークレットダブルタコスタッフによって書かれた
サイバーセキュリティ業界で100年以上の経験を組み合わせた当社のスタッフは、
知識とビジョンを共有しています。
0011名無しのひみつ
垢版 |
2021/12/13(月) 10:42:21.18ID:7gnrjdHc
認証コードの送信元が本物かどうか認証コードを送って確認させよう
0012名無しのひみつ
垢版 |
2021/12/13(月) 10:43:29.09ID:0Bn9Grjf
>>2
ハッカーよりもすごいのは、
シークレットダブルオクトパスのOctopusAuthenticator
です。買ってください!

>>4
> パスワードレス認証を事業にしてる企業の広告やんけ
黙ってろ

>>6
> なら、どうしろって感じだが
いい製品がありますよ?買いませんか?
0013名無しのひみつ
垢版 |
2021/12/13(月) 10:47:55.78ID:77un5zoU
これからは臭い認証が主流になります
0014名無しのひみつ
垢版 |
2021/12/13(月) 10:50:50.64ID:ABfep5mo
わかった、ハッカはやめて、ニッキかシナモンにするわ
0015名無しのひみつ
垢版 |
2021/12/13(月) 10:50:50.89ID:ABfep5mo
わかった、ハッカはやめて、ニッキかシナモンにするわ
0017名無しのひみつ
垢版 |
2021/12/13(月) 10:58:26.92ID:wO9lcFUJ
やっぱり紙にハンコが最強なんだよ
これならハッカーも手が出ない (^_^)
0018名無しのひみつ
垢版 |
2021/12/13(月) 11:02:25.94ID:POrKMPVN
>>1
「ブラウザを乗っ取られたら2要素認証は危険です、
だから弊社のソリューションを使いましょう!」

いやブラウザ乗っ取られた時点で完全に終わってんだろ
認証だけ安全でも意味ないってのw
アホじゃねーのか
0019名無しのひみつ
垢版 |
2021/12/13(月) 11:15:21.78ID:YuRxo7hD
安全の種類が違うだろ
偽サイトなんだから
0020名無しのひみつ
垢版 |
2021/12/13(月) 11:15:58.65ID:jEflSjVY
いまのところトークンがもっとも安全じゃないの?
電話番号に届くって一番恐怖?を感じていたんだが・・
要するにSMSだろ。番号バレバレじゃないか!といつも思っていたわ。
トークンは電池交換がなんちゃらで廃れたが電卓と同じように交換
出来る構造にすればいいだろうにと思うんだが〜。しかもトークンは
製造するコストが掛かるため廃止した理由なんだろうね。
希望者には2000円で頒布とか、電卓より高額、ぼったくりかよーとおもふ。
0021名無しのひみつ
垢版 |
2021/12/13(月) 11:35:56.31ID:1Et+tTs7
ブラウザ乗っ取れるなら銀行襲えば何千兆で大事件だ。
0022名無しのひみつ
垢版 |
2021/12/13(月) 11:40:22.27ID:q3pk5u5k
アカウントから二要素目の電話番号をクラックするのかと思ったけど
単純なフィッシング詐欺じゃん
0024名無しのひみつ
垢版 |
2021/12/13(月) 11:57:49.12ID:8wLU1Sop
乗っ取られないブラウザ または乗っ取られない方法あるのか?
0025名無しのひみつ
垢版 |
2021/12/13(月) 12:03:51.17ID:rUPhV0Ij
>>20
同意。持ち運びとか面倒だけど、表示端末が通信機能を持たず
スタンドアロンで稼働しているメリットは大きい。
0026名無しのひみつ
垢版 |
2021/12/13(月) 12:11:07.79ID:h842mmA/
>>2
物理的な攻撃対象が判れば
100%突破する
0027名無しのひみつ
垢版 |
2021/12/13(月) 12:33:33.11ID:Bj8M/vcC
深夜に偽造simで瞬間芸やれば行けちゃうだろ
0028名無しのひみつ
垢版 |
2021/12/13(月) 12:37:48.06ID:ga7dzvoL
たあんたごうたかしとけたばだたいたじょうたぶ🐻
0029名無しのひみつ
垢版 |
2021/12/13(月) 12:56:22.38ID:PuDVN196
はい 論破


・ハッカーはまず、ユーザーに「お客様のユーザーアカウントが不審なIPアドレスからのアクセスを受けました。確認のため、電話番号に送信された認証コードを返信してください」といったメッセージを送信する。
・ハッカーは次に、ユーザーの代わりにIDとパスワードを入力して侵入したいサービスにログインする。
・サービスは、正規ユーザーからログインされたと勘違いしてユーザーに2FA用の認証コードを送る。
・ユーザーがその認証コードをハッカーに返信してしまう。

シナリオ2:ハッカーがまだIDやパスワードを持っていない場合
・ハッカーは最初に、正規のサービスからのメールに見せかけた巧妙なメールをターゲットに送る。
0030名無しのひみつ
垢版 |
2021/12/13(月) 13:30:31.20ID:piO4g6wq
>>20
ハードウェアトークンもソフトウェアトークンもSMSも、
なんならメールへのワンタイムパス送付も、セキュリティ強度は同じ

番号が攻撃者にバレたところで何の影響もない
それで問題になる1のような手法だと、そもそもどんな二要素認証でも突破されるが…偽のサイトでバイパスって現実的じゃないよなぁ
0031名無しのひみつ
垢版 |
2021/12/13(月) 13:33:29.10ID:xAX37NM3
1セッション2FAがだめなら2セッション2FAにすればいいじゃない
0032名無しのひみつ
垢版 |
2021/12/13(月) 13:33:29.10ID:xAX37NM3
1セッション2FAがだめなら2セッション2FAにすればいいじゃない
0033名無しのひみつ
垢版 |
2021/12/13(月) 13:34:49.41ID:qlpOCzoj
クソゴミ認証
0034名無しのひみつ
垢版 |
2021/12/13(月) 13:37:15.05ID:TTre21wS
おまえら、メルカリのアプリで免許証持って顔写真撮影したの?
0035名無しのひみつ
垢版 |
2021/12/13(月) 13:38:59.77ID:cZavbI47
マンインザミドルを前提にするとどんなセキュリティでも担保出来ないというのは置いておき、
本人がその場で発行する必要があるので強度は同じだと思うけど、
電話での認証だとメッセージ経由でフィッシングに引っ掛かりやすいってのはあるかもね。多少無理感はあるが。
0036名無しのひみつ
垢版 |
2021/12/13(月) 13:41:14.87ID:HWtAwliv
記事最後まで読んだらただの宣伝だった
やられたわw
0037名無しのひみつ
垢版 |
2021/12/13(月) 14:09:43.16ID:Rg5auYlp
>>35
アホ
MITMならIPアドレス違うのだからEV SSL証明で見分けられる
ブラウザがクラックされて上記を偽装されてるなら、そもそもクラック被害を受けているから詰み
0038名無しのひみつ
垢版 |
2021/12/13(月) 14:10:23.13ID:6RDY1dIT
パスワードという知識要素以外に他の要素も組み合わせるから二要素認証として
セキュリティが高まるんであって、その要素が「認証番号」じゃあ片手落ちなんだよね
結局パスワード2つ入力させる程度の役にしか立ってない
0039名無しのひみつ
垢版 |
2021/12/13(月) 14:32:20.24ID:u1lduU/z
霞ヶ関と間違って霞ヶ浦が標的になったときは、ハッカーは誤爆を謝ってたよね。
0040名無しのひみつ
垢版 |
2021/12/13(月) 14:39:39.93ID:nVBtQhpB
ウワッチ・・・
つい1週間ほど前にやっちまったわ。
美術館の特別展が密を防ぐと言うので厳密な入場制限と予約優先やってて電話番号に届いたショートメールの暗証番号を打ちこんでしまったわ。

その時から15億4千万円当選しましただの寂しい熟女だの家出少女だのスパムメールが再び
0041名無しのひみつ
垢版 |
2021/12/13(月) 14:44:35.99ID:Vpwis4jD
3要素になるの?
0042名無しのひみつ
垢版 |
2021/12/13(月) 14:58:05.29ID:qIBFYTRg
>>29
最初のコードを返信するやついるか?
って100人送れば1人ぐらいいるから破られるんだろうな
0043名無しのひみつ
垢版 |
2021/12/13(月) 14:59:06.79ID:50AlUov2
とっくに変わっているじゃん。
認証コードの入力ではダメ。

携帯電話そのものを手に持っていて、はいを押さないとダメになった。
ハッカーは、電話そのものがないから、はいを押せないじゃんw
0044名無しのひみつ
垢版 |
2021/12/13(月) 15:10:10.68ID:4BNfUri9
FAX最強伝説
0045名無しのひみつ
垢版 |
2021/12/13(月) 15:52:49.28ID:fEXq7wke
【韓国】将来が不安なら、日本留学も考慮してみよう[12/11] [ハニィみるく(17歳)★]
0046名無しのひみつ
垢版 |
2021/12/13(月) 15:52:49.56ID:fEXq7wke
【韓国】将来が不安なら、日本留学も考慮してみよう[12/11] [ハニィみるく(17歳)★]
0047名無しのひみつ
垢版 |
2021/12/13(月) 16:18:55.71ID:oWzP2jaw
電話番号なんて怖くて一度も登録したこと無いです
0048名無しのひみつ
垢版 |
2021/12/13(月) 16:21:42.07ID:oWzP2jaw
長崎じゃ車のナンバープレートから住所名前電話番号まで簡単に入手する公的期間の職員がいるから ((( ;゚Д゚)))ガクガクブルブル 怖い
0049名無しのひみつ
垢版 |
2021/12/13(月) 16:24:02.54ID:4aKwZwGX
なんか内容が微妙だなと思ったらPR記事かよ
例として挙げられてる方法がどれもあまり現実的ではない
0050名無しのひみつ
垢版 |
2021/12/13(月) 16:29:02.20ID:czfoYzTR
これ無駄に思えるし不便なことこの上ない
0051名無しのひみつ
垢版 |
2021/12/13(月) 16:38:06.71ID:kX+9VP4m
SMSってGSM経由することがあるから元々安全じゃないけど、それ以前にフィッシングで本人から聞き出せばどうにでもなるわな
0053名無しのひみつ
垢版 |
2021/12/13(月) 17:49:51.53ID:IY8Zc5jD
>>1
最後まで読んだら宣伝だったw
0054名無しのひみつ
垢版 |
2021/12/13(月) 17:51:26.62ID:+cAtwTa3
グーグルのやつめんどくさい
0055名無しのひみつ
垢版 |
2021/12/13(月) 17:56:16.64ID:rF4iXINa
使いまわしてないパスワードなら
変える必要ないのに
相変わらず定期的に変えろと
アナウンスしてくるとこ多いな
0056名無しのひみつ
垢版 |
2021/12/13(月) 18:15:02.77ID:SD9gjne9
>>2
対人戦だから必ず新しい 0 day attack というガード不能連携を用意してくるぞ
0057名無しのひみつ
垢版 |
2021/12/13(月) 18:20:56.27ID:DOPhJCk4
これからは肛門の皺認証の時代
0058名無しのひみつ
垢版 |
2021/12/13(月) 19:42:08.03ID:/uweS13Z
2段階認証に脆弱性があるんじゃなくて、2段階認証で安心してるユーザーを
騙す手口があるってだけの話だった。
0059名無しのひみつ
垢版 |
2021/12/13(月) 20:03:08.32ID:NAcUt+1p
これ迷惑 外国で使えない
0060名無しのひみつ
垢版 |
2021/12/13(月) 21:53:45.15ID:nT9+ZEBf
>>2
どんな秘密もハッカーまで持っていくって言うだろ
0061名無しのひみつ
垢版 |
2021/12/13(月) 21:57:50.38ID:1xvn4qaI
ソース見てやっぱりなーって思ったけど、保険なんて入ってないのにアフラックからメールが何件も入ってたんだよね
親が勝手に入ってるのかとちょっと思ったけど、そのメアドって親に教えてないんだわ
凄くよく出来てたけど、フィッシングメールだったんだな
0062名無しのひみつ
垢版 |
2021/12/13(月) 22:03:15.46ID:o7e5t3dm
トークンタイプのワンタイムパスワードで殴るわ
0064名無しのひみつ
垢版 |
2021/12/13(月) 22:28:53.31ID:WhzT74v5
スマホ置いて席を外した隙に二要素認証のサービスをそいつの電話番号で登録
送られてきた通知のパスワードを覗き見てすかさず登録
0065名無しのひみつ
垢版 |
2021/12/14(火) 09:26:02.98ID:lpHBLDe1
皆のアカウントに自由に出入りできるようにしよう
0066名無しのひみつ
垢版 |
2021/12/14(火) 09:45:51.08ID:l8vDPECC
そういえば反ワクって二要素認証にはケチつけないよな。
「三要素認証、四要素認証と永久に増やし続けないといけないドーピング体質」っていうのは聞いたことがない。

時代とともに数が増えているものなんてワクチン摂取数や認証段階に限らないと思うけどな。cpuのトランジスタ数なんて8086から比べたらワクチンの回数なんてお話しにならないくらい増えてんのにな

アイツラ認証には恨みはないけどワクチンには親殺されたとかなんかか?
0067名無しのひみつ
垢版 |
2021/12/14(火) 10:31:15.81ID:S8sVoCby
「セキュリティのために、貴方のお母さんの旧姓も入力してください」

「セキュリティのために、飼っていた犬の名前も入力してください」

「セキュリティのために、貴方の本籍も入力してください」

「セキュリティのために、貴方の銀行口座のパスワードも入力してください」
0068名無しのひみつ
垢版 |
2021/12/14(火) 11:31:45.30ID:lmBidazb
>>66
何このキチガイw
朝鮮人?
0069名無しのひみつ
垢版 |
2021/12/14(火) 23:44:26.04ID:jjR97NKh
超ウィザード級ハッカー
0070名無しのひみつ
垢版 |
2021/12/15(水) 09:49:19.55ID:kSNUKrQ8
フィッシングにひっかかるアホには効果無いって話だな
0071名無しのひみつ
垢版 |
2021/12/15(水) 21:49:01.92ID:v6t31/9g
ログインしようとするやつの
本人確認って意味では有効なんじゃねえの 本人確認以外にセキュリティ的に何か必要か 不足ならワンタイムパスワードでいけばいいんじゃね
0072名無しのひみつ
垢版 |
2021/12/15(水) 22:05:34.21ID:j7DyMKI/
オレオレ詐欺演る人も一種のハッカーだなw
0073名無しのひみつ
垢版 |
2021/12/15(水) 22:13:21.53ID:CmyTaKaY
2 factor authorityだっけ?
何でもかんでも携帯番号に紐付けすればいいってもんじゃないけどね
ひと昔前の楽なアカウント管理に戻りたい
パスワード2つでもいいから前の方が楽だった
0074名無しのひみつ
垢版 |
2021/12/15(水) 23:07:56.57ID:T5LWJfg0
そもそもアカウント不要
0075名無しのひみつ
垢版 |
2021/12/16(木) 07:32:14.58ID:GFN4+plC
玄関のドアスコープ、のぞき対策は 単眼鏡で外から簡単に盗撮も
https://www.asahi.com/articles/ASPDH2J8DPDGPTIL02H.html

犯罪の方法を世間に広く紹介するのが、朝日新聞の務めであるらしい。
0076名無しのひみつ
垢版 |
2021/12/16(木) 07:38:42.11ID:CMj+pe1j
結局スタンドアロン最強という事でFA
電子セキュリティより物理的セキュリティの方が遥かに楽だ
FAXでいいじゃん

めんどくさい?しらんがな
■ このスレッドは過去ログ倉庫に格納されています

ニューススポーツなんでも実況