【セキュリティ】電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない [すらいむ★]
■ このスレッドは過去ログ倉庫に格納されています
電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない
ネットサービスのアカウントを作ろうとして、「セキュリティのために電話番号も入力してください」とのメッセージに遭遇したことがある人は多いはず。
パスワードと電話番号に届いた認証コードの両方でログインする「2要素認証(2FA)」は強力なセキュリティとして重宝されていますが、ハッカーにとってはほとんど無意味だとセキュリティ企業が警鐘を鳴らしています。
Bypassing 2FA - Secret double octopus
https://doubleoctopus.com/blog/threats-and-alerts/bypassing-2fa/
(以下略、続きはソースでご確認ください)
Gigazine 2021年12月12日 20時00分
https://gigazine.net/news/20211212-bypassing-2fa/ んー、要はフィッシングで破ってるだけで
あんまりクラッカーらしさが感じられないなw いいたことは一言です。シークレットダブルオクトパスの
OctopusAuthenticatorを買ってください!
OctopusAuthenticatorを買ってください!
OctopusAuthenticatorを買ってください!
すべての雹のパスワードなしの認証
この混乱から抜け出す方法は簡単です?パスワードを手放します。
シークレットダブルオクトパスのOctopusAuthenticatorは、
人間がパスワードを考え出し、管理し、記憶し、入力する必要のない、
シームレスで数学的に破られない認証を提供する唯一のパスワードレスソリューションで
Octopusは、ユーザーエクスペリエンスからパスワード関連の煩わしさ
完全に排除しながら、最高の認証保証を提供します。
シークレットダブルタコスタッフによって書かれた
サイバーセキュリティ業界で100年以上の経験を組み合わせた当社のスタッフは、
知識とビジョンを共有しています。 認証コードの送信元が本物かどうか認証コードを送って確認させよう >>2
ハッカーよりもすごいのは、
シークレットダブルオクトパスのOctopusAuthenticator
です。買ってください!
>>4
> パスワードレス認証を事業にしてる企業の広告やんけ
黙ってろ
>>6
> なら、どうしろって感じだが
いい製品がありますよ?買いませんか? わかった、ハッカはやめて、ニッキかシナモンにするわ わかった、ハッカはやめて、ニッキかシナモンにするわ やっぱり紙にハンコが最強なんだよ
これならハッカーも手が出ない (^_^) >>1
「ブラウザを乗っ取られたら2要素認証は危険です、
だから弊社のソリューションを使いましょう!」
いやブラウザ乗っ取られた時点で完全に終わってんだろ
認証だけ安全でも意味ないってのw
アホじゃねーのか いまのところトークンがもっとも安全じゃないの?
電話番号に届くって一番恐怖?を感じていたんだが・・
要するにSMSだろ。番号バレバレじゃないか!といつも思っていたわ。
トークンは電池交換がなんちゃらで廃れたが電卓と同じように交換
出来る構造にすればいいだろうにと思うんだが〜。しかもトークンは
製造するコストが掛かるため廃止した理由なんだろうね。
希望者には2000円で頒布とか、電卓より高額、ぼったくりかよーとおもふ。 ブラウザ乗っ取れるなら銀行襲えば何千兆で大事件だ。 アカウントから二要素目の電話番号をクラックするのかと思ったけど
単純なフィッシング詐欺じゃん 乗っ取られないブラウザ または乗っ取られない方法あるのか? >>20
同意。持ち運びとか面倒だけど、表示端末が通信機能を持たず
スタンドアロンで稼働しているメリットは大きい。 >>2
物理的な攻撃対象が判れば
100%突破する はい 論破
・ハッカーはまず、ユーザーに「お客様のユーザーアカウントが不審なIPアドレスからのアクセスを受けました。確認のため、電話番号に送信された認証コードを返信してください」といったメッセージを送信する。
・ハッカーは次に、ユーザーの代わりにIDとパスワードを入力して侵入したいサービスにログインする。
・サービスは、正規ユーザーからログインされたと勘違いしてユーザーに2FA用の認証コードを送る。
・ユーザーがその認証コードをハッカーに返信してしまう。
シナリオ2:ハッカーがまだIDやパスワードを持っていない場合
・ハッカーは最初に、正規のサービスからのメールに見せかけた巧妙なメールをターゲットに送る。 >>20
ハードウェアトークンもソフトウェアトークンもSMSも、
なんならメールへのワンタイムパス送付も、セキュリティ強度は同じ
番号が攻撃者にバレたところで何の影響もない
それで問題になる1のような手法だと、そもそもどんな二要素認証でも突破されるが…偽のサイトでバイパスって現実的じゃないよなぁ 1セッション2FAがだめなら2セッション2FAにすればいいじゃない 1セッション2FAがだめなら2セッション2FAにすればいいじゃない おまえら、メルカリのアプリで免許証持って顔写真撮影したの? マンインザミドルを前提にするとどんなセキュリティでも担保出来ないというのは置いておき、
本人がその場で発行する必要があるので強度は同じだと思うけど、
電話での認証だとメッセージ経由でフィッシングに引っ掛かりやすいってのはあるかもね。多少無理感はあるが。 記事最後まで読んだらただの宣伝だった
やられたわw >>35
アホ
MITMならIPアドレス違うのだからEV SSL証明で見分けられる
ブラウザがクラックされて上記を偽装されてるなら、そもそもクラック被害を受けているから詰み パスワードという知識要素以外に他の要素も組み合わせるから二要素認証として
セキュリティが高まるんであって、その要素が「認証番号」じゃあ片手落ちなんだよね
結局パスワード2つ入力させる程度の役にしか立ってない 霞ヶ関と間違って霞ヶ浦が標的になったときは、ハッカーは誤爆を謝ってたよね。 ウワッチ・・・
つい1週間ほど前にやっちまったわ。
美術館の特別展が密を防ぐと言うので厳密な入場制限と予約優先やってて電話番号に届いたショートメールの暗証番号を打ちこんでしまったわ。
その時から15億4千万円当選しましただの寂しい熟女だの家出少女だのスパムメールが再び >>29
最初のコードを返信するやついるか?
って100人送れば1人ぐらいいるから破られるんだろうな とっくに変わっているじゃん。
認証コードの入力ではダメ。
携帯電話そのものを手に持っていて、はいを押さないとダメになった。
ハッカーは、電話そのものがないから、はいを押せないじゃんw 【韓国】将来が不安なら、日本留学も考慮してみよう[12/11] [ハニィみるく(17歳)★] 【韓国】将来が不安なら、日本留学も考慮してみよう[12/11] [ハニィみるく(17歳)★] 長崎じゃ車のナンバープレートから住所名前電話番号まで簡単に入手する公的期間の職員がいるから ((( ;゚Д゚)))ガクガクブルブル 怖い なんか内容が微妙だなと思ったらPR記事かよ
例として挙げられてる方法がどれもあまり現実的ではない SMSってGSM経由することがあるから元々安全じゃないけど、それ以前にフィッシングで本人から聞き出せばどうにでもなるわな 使いまわしてないパスワードなら
変える必要ないのに
相変わらず定期的に変えろと
アナウンスしてくるとこ多いな >>2
対人戦だから必ず新しい 0 day attack というガード不能連携を用意してくるぞ 2段階認証に脆弱性があるんじゃなくて、2段階認証で安心してるユーザーを
騙す手口があるってだけの話だった。 >>2
どんな秘密もハッカーまで持っていくって言うだろ ソース見てやっぱりなーって思ったけど、保険なんて入ってないのにアフラックからメールが何件も入ってたんだよね
親が勝手に入ってるのかとちょっと思ったけど、そのメアドって親に教えてないんだわ
凄くよく出来てたけど、フィッシングメールだったんだな スマホ置いて席を外した隙に二要素認証のサービスをそいつの電話番号で登録
送られてきた通知のパスワードを覗き見てすかさず登録 そういえば反ワクって二要素認証にはケチつけないよな。
「三要素認証、四要素認証と永久に増やし続けないといけないドーピング体質」っていうのは聞いたことがない。
時代とともに数が増えているものなんてワクチン摂取数や認証段階に限らないと思うけどな。cpuのトランジスタ数なんて8086から比べたらワクチンの回数なんてお話しにならないくらい増えてんのにな
アイツラ認証には恨みはないけどワクチンには親殺されたとかなんかか? 「セキュリティのために、貴方のお母さんの旧姓も入力してください」
「セキュリティのために、飼っていた犬の名前も入力してください」
「セキュリティのために、貴方の本籍も入力してください」
「セキュリティのために、貴方の銀行口座のパスワードも入力してください」 フィッシングにひっかかるアホには効果無いって話だな ログインしようとするやつの
本人確認って意味では有効なんじゃねえの 本人確認以外にセキュリティ的に何か必要か 不足ならワンタイムパスワードでいけばいいんじゃね 2 factor authorityだっけ?
何でもかんでも携帯番号に紐付けすればいいってもんじゃないけどね
ひと昔前の楽なアカウント管理に戻りたい
パスワード2つでもいいから前の方が楽だった 玄関のドアスコープ、のぞき対策は 単眼鏡で外から簡単に盗撮も
https://www.asahi.com/articles/ASPDH2J8DPDGPTIL02H.html
犯罪の方法を世間に広く紹介するのが、朝日新聞の務めであるらしい。 結局スタンドアロン最強という事でFA
電子セキュリティより物理的セキュリティの方が遥かに楽だ
FAXでいいじゃん
めんどくさい?しらんがな ■ このスレッドは過去ログ倉庫に格納されています