Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 46
ストーリー by nagazou
利便性も損なわない仕組みでお願いします 部門より
利便性も損なわない仕組みでお願いします 部門より
headless 曰く、
SMSや音声通話による多要素認証(MFA)はMFAの方式の中で最弱だとして、MicrosoftのAlex Weinert氏が他の方式によるMFAへの移行を推奨している(Azure Active Directory Identity Blogの記事、 Neowinの記事、 Softpediaの記事)。
Weinert氏によれば、SMSや音声通話は公衆交換電話網(PSTN)をベースにしたシステムであり、これを使用するMFAメカニズムは他の認証方式が持つすべての脆弱性を備えるうえ、PSTN特有の問題も存在するという。
Weinert氏はPSTNを使用するMFAの問題点として、メッセージの形式や長さに制約があること、通信内容が暗号化されないこと、カスタマーサポート担当者に対するソーシャルエンジニアリングが容易なこと、即時かつ確実に着信するかどうかはモバイルキャリアの信頼性やスパム対策を目的とした法規制の影響を受けることを挙げている。
こういった制約により、SMSや音声通話を使用するMFAで可能なのはワンタイムパスワード(OTP)を知らせる程度にとどまり、技術の進化や脅威の変化などに柔軟な対応ができない。また、ソーシャルエンジニアリングによるSIM乗っ取りなどの可能性もある。
そのため、モバイルデバイスをMFAに使用するなら、アプリベースの認証が適切だという。その中でもMicrosoft的な正解はMicrosoft Authenticatorアプリとのことだ。なお、リンク先ページで携帯電話番号を入力すると、ダウンロードリンクをSMSで受け取ることができる。
なに使ってます? (スコア:2)
・Google Authenticator
・Microsoft Authenticator
・Authy
・IIJ SmartKey
メジャーなところはこれくらい?
「Google Authenticator」をとりあえず進めるネット記事が多いが
個人的にAuthyが一番便利だと思う
Re:なに使ってます? (スコア:2)
FreeOTP使ってます。アイコンが自由に変えられるのが良い。あとオープンソース。
Google 認証システムはアプリを開いただけでキーが丸見えなのが欠点。ショルダーハックされてもセキュリティ上問題ないのかもしれんが。
Microsoft Authenticatorは自動的にアイコンを設定してくれるのが良い。
Re: (スコア:0)
Microsoft AuthenticatorのAndroid版のアカウントの削除ボタンはテロ。
何であんな押してと言わんばかりの場所とデザインなんだ……
Re:なに使ってます? (スコア:1)
iOS版のGoogle Authenticatorは機種変更時の復元ができないから、使うのを止めました。
さすがに全サイトの認証を設定し直しはツラい。
Re: (スコア:0)
昔話?
Re: (スコア:0)
「使うのを止めました。」と過去形で書かれているのでそうなんでしょうね。
Re: (スコア:0)
と俺も思ってたけど、いつのまにかエクスポート・インポート機能がついます。
Re: (スコア:0)
複数登録できるうえ(問題ともいえますが)移行が容易なのでIIJを
Re: (スコア:0)
LastPass Authenticator
LastPass利用者はこれ一択(他のを選ぶ理由がない)
Re: (スコア:0)
SMS可能な番号がない(あっても何年かで乗り換える)のでAuthyは無理
一度Authyに登録した電話番号を解約してえらい目に遭った
「IIJ SmartKey」がお勧め (スコア:0)
「IIJ SmartKey」がお勧めです。
https://www.iij.ad.jp/smartkey/ [iij.ad.jp]
何が良いかというと、
・国産
・IIJ (株式会社インターネットイニシアティブ) という会社が信用できる
・秘密鍵がサーバーにアップロードされる心配はない
・サービスの順番の並び替えができる (これができないアプリも多い)
・複数台のスマホに設定を安全に複製できる (Google Authenticatorはできない)
という点。
設定のエクスポートはQRコードを別のスマホで読み取る方式なので、その際に秘密鍵がサーバにアップロードされる心配もなく安心です。
Re: (スコア:0)
「信用できない会社」ならいくらでもあるが、
逆に「信用できる会社」ってのは存在しない。
なぜなら、悪事を働くのは「従業員個人」であることも多いから。
従業員の満足度が低い会社や人の出入りが多い会社は信用性という面では低くなる。
ただ、信頼する基準ならある。
「責任を取る資力と守るべきブランドがあるか?」
最近のIIJは祖業であるプロバイダ事業の品質が低い状態だったり、
クラウド事業では担当者がコロコロ変わってみたり、
何をやっているのか分からない会社になってる感がある。
Re: (スコア:0)
IIJは信用できる会社だとは思うけど「IIJ SmartKey」は信用できない。
JVN#27137002: Android アプリ「IIJ SmartKey」における認証不備の脆弱性 [jvn.jp]
他のTOTPアプリ(LastPass Authenticator)でも見つかってた問題ではあるんだけど、マイナーで発見が遅れたせいで他社の半年遅れでの修正になった。国産であるということは逆にデメリットでもある。
Android版IIJ SmartKey 2.1.0はパスコード入力を回避できる不具合があるため要注意 - AndroPlus [androplus.org]
Re:「IIJ SmartKey」がお勧め (スコア:1)
4uやmioのような「安かろう悪かろう」を始めたあたりからIIJもちょっと信用できない。
まだ経営危機だった頃の方が「天下のIIJ」的な感じがして安心感があった。
必要なのはiij.ad.jpだ。iijmio.jpとかではない。
Re: (スコア:0)
「より良い品をより安く」は、高度成長期など革新的技術の開発によって成り立っていた。
あの頃ほど革新的技術開発が生まれない時代・分野においては、顧客に合わせた「コスト・ベネフィットがバランスする適正品質」で商売するのは当たり前。
iij.ad.jpの品質がほしければ、iij.ad.jpの設定料金でiij.ad.jpに金を払え。
Re: (スコア:0)
そういう人はSmartKeyマネージメントサービス [iij.ad.jp]をどうぞ
Re: (スコア:0)
Microsoft Authenticatorは、Microsoftのサービスとの組み合わせだと利便性が増す。具体的には、ワンタイムな番号の表示・入力では無く、アプリ内ワンタップで承認できるようになる。
登録時の確認にSMS使わないでほしい (スコア:1)
どっかのバカが自分の携帯番号を使ってSMS認証しようとして、5分ぐらい毎にSMSが延々と届くことがある。
発信番号が毎回違うからブロックできない、サービスのサポートに問い合わせても改善不可。
非常に迷惑なんだよなぁ。
Re: (スコア:0)
なるほど、嫌がらせにも使え
NO CARRIER
Re: (スコア:0)
ターゲッティングした上でのオレオレ詐欺犯とかがたまに使う。
たとえばターゲットの家族に確認SMS・確認電話でDoS攻撃を仕掛けて着信拒否状態を作り出し、その上で「携帯が壊れたから借りてる」などと言ってなりすまし電話をかける。
確認電話が届かないから成功率は上がるわな。
Re: (スコア:0)
音声通知だと「アメリカ合衆国」から電話かけてくるのはびっくり。
大統領かよと思った。
「スマホ持ちにあらずんば顧客にあらず」か (スコア:0)
柄家は人にあらずか
Re:「スマホ持ちにあらずんば顧客にあらず」か (スコア:2)
会社でGitHub導入して二段階認証を設定したら
開発メンバーでガラケーの人がいてすごく困ってた
Re: (スコア:0)
業務で私物スマホ(携帯電話)を当然のように使わせる風潮は嫌いです。
会社支給または購入・維持に納得できるだけの補助を出すべきだと思っています。
Re:「スマホ持ちにあらずんば顧客にあらず」か (スコア:2)
個人の認証に会社のスマホを使うのは正しいの?
個人の認証と会社の業務はわけたほうがいい気がするな。
Re: (スコア:0)
多分三種類の会社があって、
- 言えば端末を用意してくれる
- 言っても対応してくれない
- 常に端末が支給される
3つ目が最良かというと、実は別端末持たされる方がめんどくさいというケースもある。
で、親コメのような何でも会社が対応すべき主義の人がいるのも分かるのだが、
そういう人はそういう会社に就職するべき、という話だと思ってる(無論現状の勤務先と交渉しても良い訳だが)。
会社が負担するという事は、その分のコストは結局のところ構成員全員で負担しているだけの話で、
認証だけに新規に端末契約するのは無駄というポリシーで合意している会社も存在するだろうからだ。
Re: (スコア:0)
逆に、「言っても対応してくれない会社」がいい人が「そういう人はそういう会社に就職するべき」じゃないかなあ。
Re: (スコア:0)
それは逆ではない。同じくと言うべき。
Re: (スコア:0)
書かれている分類は妥当だと思うんだけど、「合意」「構成員」というのはおかしい。
設備品について従業員と使用者が合意するものなのか?単に会社側が決めているものだと思うが。
労働組合が存在すれば、労働環境としてとらえて場合によっては協議に入る点もあるだろうから全く間違いではないとは思う。
従業員のUXを上げる文脈で言えば、アンケートでも取ってからコストと天秤にかけて良さそうな選択肢にするだろうが、それを合意と呼ぶわけではなかろう。
またコストを「構成員全員で負担している」というのもありえない。
単に会社と株主が負担しているだけだ。
もちろん同族会社のような従業員=家族みたいな会社もよくあるだろうが、それがモデルケースかと言われると…
Re: (スコア:0)
認証だけに新規に端末契約するのは無駄というポリシー(BYOD)は就業規則か労使協定で定めて労働組合か従業員代表の合意があって成立するものですよ?
会社側が一方的に労働条件の不利益変更できるわけないじゃないですか。
Re: (スコア:0)
むしろ経費ごときが気になる給与水準が問題。
手取りで月50以上貰ってりゃ細かいことは気にならなくなる。
# マイクロソフト社員とか私費でmacbook買って仕事してるじゃん笑
Re: (スコア:0)
今なら GitHub だったら FIDO2 準拠のセキュリティキーを配ればよいですね
Re:「スマホ持ちにあらずんば顧客にあらず」か (スコア:2)
そのセキュリティキーのコストを誰が払うんだって話なんですよ。
個人持ちのスマホだったら1円もかからないのに、ガラケーユーザーの場合は別にコストがかかるってのが会社的には不満らしいのでね。
Re: (スコア:0)
いまだにインターネット関連のセキュリティ更新があるんでもなければその通りでは。
Re: (スコア:0)
そんならWindowsで、WinAuthでも使っときましょうか?
TOTPに関しては、オープンアルゴリズムだから代替手段がいくらでもあるでしょうよ。
最悪ガラケーしか無くて、ガラケーのブラウザで使うって状況なら、クラウド系のパスワード管理サイト使いましょうか?
1Passwordとか、TOTP機能あったんじゃなかった?
Re: (スコア:0)
1Passwordで ワンタイムパスワード生成できますね。
なお、リンク先ページで携帯電話番号を入力すると (スコア:0)
は、皮肉であるってことでいいんですよね?なんだかんだ言っても、もとをたどっていくと結局電話じゃないのか?っていう
Re: (スコア:0)
ストアへのリンク送るだけだからeメールでも同じなんですけどね。
なぜアプリベースにならないのか (スコア:0)
ってまあ簡単な話、セキュリティのためでなく、安易な複数アカウント取得防止のためにSMSや音声認証にしてるからですよ。
TOTPアプリだとセキュリティが向上する反面、複垢をいくつも作って割引やチャージバックを受ける不正が簡単になってしまうので、単純な代替たりえない。
Re: (スコア:0)
複垢防止は認証情報を登録する前の話だから多要素認証関係ない。
Re: (スコア:0)
違いますよ。単純に電話番号情報が欲しいからです。
SMS認証という建前にしておけば、電話番号の入力ミスや意図的な誤入力を防げますし、
堂々と電話番号情報を保存できるという大きなメリットも生まれます。
そして万が一の時にはその電話番号から個人情報(住所、氏名ほか)を探せますし。
Re: (スコア:0)
>そして万が一の時にはその電話番号から個人情報(住所、氏名ほか)を探せますし。
「IPアドレスが一致した」逮捕、拘留、起訴、有罪確定のときと全く同じ発想だね。
なりすまし犯罪というものの難しさをまるで分かっていない。
厳格な本人確認が伴わない限り、入手した電話番号情報は不確かな情報で、万が一のときには役に立たない。
Re: (スコア:0)
SMS だって reCAPTCHA だって代行業者がいる時代。なんの保証にもなりゃしない。
PayPay ポイントバック詐欺とか、まさにその脆弱性をつかれているんだけど。
https://www.asahi.com/articles/ASNB77RPFNB7UTIL00Q.html [asahi.com]
Re: (スコア:0)
これも
よく考えたらコロナウイルスかかってる人あんまりいないよね笑
http://blog.livedoor.jp/dqnplus/archives/1998265.html [livedoor.jp]
ここで見つかったのが1万件超の工作アカウント。
組織的複数アカウント取得防止効果は皆無。
(大統領選挙も相当やられただろう。)
最弱って言われてもなー (スコア:0)
ヤムチャ最弱って言ってるのと同レベルの話な気がする。
# 最弱も歌舞伎町あたりに放り込めばヤクザ相手に無双するぞ。
Re: (スコア:0)
ミスターサタンのコミュ力がなければ魔人ブウを倒せなかった。サイヤ人は地球人基準だと見事に社会不適合者