パスワードを忘れた? アカウント作成
14985599 story
マイクロソフト

Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 45

ストーリー by nagazou
利便性も損なわない仕組みでお願いします 部門より
headless 曰く、

SMSや音声通話による多要素認証(MFA)はMFAの方式の中で最弱だとして、MicrosoftのAlex Weinert氏が他の方式によるMFAへの移行を推奨している(Azure Active Directory Identity Blogの記事Neowinの記事Softpediaの記事)。

Weinert氏によれば、SMSや音声通話は公衆交換電話網(PSTN)をベースにしたシステムであり、これを使用するMFAメカニズムは他の認証方式が持つすべての脆弱性を備えるうえ、PSTN特有の問題も存在するという。

Weinert氏はPSTNを使用するMFAの問題点として、メッセージの形式や長さに制約があること、通信内容が暗号化されないこと、カスタマーサポート担当者に対するソーシャルエンジニアリングが容易なこと、即時かつ確実に着信するかどうかはモバイルキャリアの信頼性やスパム対策を目的とした法規制の影響を受けることを挙げている。

こういった制約により、SMSや音声通話を使用するMFAで可能なのはワンタイムパスワード(OTP)を知らせる程度にとどまり、技術の進化や脅威の変化などに柔軟な対応ができない。また、ソーシャルエンジニアリングによるSIM乗っ取りなどの可能性もある。

そのため、モバイルデバイスをMFAに使用するなら、アプリベースの認証が適切だという。その中でもMicrosoft的な正解はMicrosoft Authenticatorアプリとのことだ。なお、リンク先ページで携帯電話番号を入力すると、ダウンロードリンクをSMSで受け取ることができる。

  • by asanagi (22217) on 2020年11月13日 17時34分 (#3923702) 日記

    ・Google Authenticator
    ・Microsoft Authenticator
    ・Authy
    ・IIJ SmartKey

    メジャーなところはこれくらい?
    「Google Authenticator」をとりあえず進めるネット記事が多いが
    個人的にAuthyが一番便利だと思う
           

    ここに返信
    • by 7743 (11762) on 2020年11月13日 19時02分 (#3923763)

      FreeOTP使ってます。アイコンが自由に変えられるのが良い。あとオープンソース。
      Google 認証システムはアプリを開いただけでキーが丸見えなのが欠点。ショルダーハックされてもセキュリティ上問題ないのかもしれんが。
      Microsoft Authenticatorは自動的にアイコンを設定してくれるのが良い。

      • by Anonymous Coward

        Microsoft AuthenticatorのAndroid版のアカウントの削除ボタンはテロ。
        何であんな押してと言わんばかりの場所とデザインなんだ……

    • by Anonymous Coward on 2020年11月13日 19時54分 (#3923788)

      iOS版のGoogle Authenticatorは機種変更時の復元ができないから、使うのを止めました。
      さすがに全サイトの認証を設定し直しはツラい。

      • by Anonymous Coward

        昔話?

        • by Anonymous Coward

          「使うのを止めました。」と過去形で書かれているのでそうなんでしょうね。

      • by Anonymous Coward

        と俺も思ってたけど、いつのまにかエクスポート・インポート機能がついます。

    • by Anonymous Coward

      複数登録できるうえ(問題ともいえますが)移行が容易なのでIIJを

    • by Anonymous Coward

      LastPass Authenticator

      LastPass利用者はこれ一択(他のを選ぶ理由がない)

    • by Anonymous Coward

      SMS可能な番号がない(あっても何年かで乗り換える)のでAuthyは無理
      一度Authyに登録した電話番号を解約してえらい目に遭った

    • 「IIJ SmartKey」がお勧めです。
      https://www.iij.ad.jp/smartkey/ [iij.ad.jp]

      何が良いかというと、
      ・国産
      ・IIJ (株式会社インターネットイニシアティブ) という会社が信用できる
      ・秘密鍵がサーバーにアップロードされる心配はない
      ・サービスの順番の並び替えができる (これができないアプリも多い)
      ・複数台のスマホに設定を安全に複製できる (Google Authenticatorはできない)
      という点。

      設定のエクスポートはQRコードを別のスマホで読み取る方式なので、その際に秘密鍵がサーバにアップロードされる心配もなく安心です。

      • by Anonymous Coward

        「信用できない会社」ならいくらでもあるが、
        逆に「信用できる会社」ってのは存在しない。

        なぜなら、悪事を働くのは「従業員個人」であることも多いから。
        従業員の満足度が低い会社や人の出入りが多い会社は信用性という面では低くなる。

        ただ、信頼する基準ならある。
        「責任を取る資力と守るべきブランドがあるか?」

        最近のIIJは祖業であるプロバイダ事業の品質が低い状態だったり、
        クラウド事業では担当者がコロコロ変わってみたり、
        何をやっているのか分からない会社になってる感がある。

      • by Anonymous Coward

        IIJは信用できる会社だとは思うけど「IIJ SmartKey」は信用できない。

        JVN#27137002: Android アプリ「IIJ SmartKey」における認証不備の脆弱性 [jvn.jp]

        他のTOTPアプリ(LastPass Authenticator)でも見つかってた問題ではあるんだけど、マイナーで発見が遅れたせいで他社の半年遅れでの修正になった。国産であるということは逆にデメリットでもある。

        Android版IIJ SmartKey 2.1.0はパスコード入力を回避できる不具合があるため要注意 - AndroPlus [androplus.org]

        ただ、ヘルプによると「本アプリ

        • by Anonymous Coward on 2020年11月14日 20時40分 (#3924218)

          4uやmioのような「安かろう悪かろう」を始めたあたりからIIJもちょっと信用できない。
          まだ経営危機だった頃の方が「天下のIIJ」的な感じがして安心感があった。

          必要なのはiij.ad.jpだ。iijmio.jpとかではない。

          • by Anonymous Coward

            「より良い品をより安く」は、高度成長期など革新的技術の開発によって成り立っていた。
            あの頃ほど革新的技術開発が生まれない時代・分野においては、顧客に合わせた「コスト・ベネフィットがバランスする適正品質」で商売するのは当たり前。

            iij.ad.jpの品質がほしければ、iij.ad.jpの設定料金でiij.ad.jpに金を払え。

          • by Anonymous Coward

            そういう人はSmartKeyマネージメントサービス [iij.ad.jp]をどうぞ

    • by Anonymous Coward

      Microsoft Authenticatorは、Microsoftのサービスとの組み合わせだと利便性が増す。具体的には、ワンタイムな番号の表示・入力では無く、アプリ内ワンタップで承認できるようになる。

  • by Anonymous Coward on 2020年11月13日 17時45分 (#3923709)

    どっかのバカが自分の携帯番号を使ってSMS認証しようとして、5分ぐらい毎にSMSが延々と届くことがある。
    発信番号が毎回違うからブロックできない、サービスのサポートに問い合わせても改善不可。
    非常に迷惑なんだよなぁ。

    ここに返信
    • by Anonymous Coward

      なるほど、嫌がらせにも使え
      NO CARRIER

      • by Anonymous Coward

        ターゲッティングした上でのオレオレ詐欺犯とかがたまに使う。
        たとえばターゲットの家族に確認SMS・確認電話でDoS攻撃を仕掛けて着信拒否状態を作り出し、その上で「携帯が壊れたから借りてる」などと言ってなりすまし電話をかける。
        確認電話が届かないから成功率は上がるわな。

    • by Anonymous Coward

      音声通知だと「アメリカ合衆国」から電話かけてくるのはびっくり。
      大統領かよと思った。

  • by Anonymous Coward on 2020年11月13日 16時21分 (#3923646)

    柄家は人にあらずか

    ここに返信
    • 会社でGitHub導入して二段階認証を設定したら
      開発メンバーでガラケーの人がいてすごく困ってた

      • by Anonymous Coward

        業務で私物スマホ(携帯電話)を当然のように使わせる風潮は嫌いです。
        会社支給または購入・維持に納得できるだけの補助を出すべきだと思っています。

        • 個人の認証に会社のスマホを使うのは正しいの?
          個人の認証と会社の業務はわけたほうがいい気がするな。

        • by Anonymous Coward

          多分三種類の会社があって、
          - 言えば端末を用意してくれる
          - 言っても対応してくれない
          - 常に端末が支給される
          3つ目が最良かというと、実は別端末持たされる方がめんどくさいというケースもある。

          で、親コメのような何でも会社が対応すべき主義の人がいるのも分かるのだが、
          そういう人はそういう会社に就職するべき、という話だと思ってる(無論現状の勤務先と交渉しても良い訳だが)。
          会社が負担するという事は、その分のコストは結局のところ構成員全員で負担しているだけの話で、
          認証だけに新規に端末契約するのは無駄というポリシーで合意している会社も存在するだろうからだ。

          • by Anonymous Coward

            逆に、「言っても対応してくれない会社」がいい人が「そういう人はそういう会社に就職するべき」じゃないかなあ。

            • by Anonymous Coward

              それは逆ではない。同じくと言うべき。

          • by Anonymous Coward

            書かれている分類は妥当だと思うんだけど、「合意」「構成員」というのはおかしい。
            設備品について従業員と使用者が合意するものなのか?単に会社側が決めているものだと思うが。
            労働組合が存在すれば、労働環境としてとらえて場合によっては協議に入る点もあるだろうから全く間違いではないとは思う。

            従業員のUXを上げる文脈で言えば、アンケートでも取ってからコストと天秤にかけて良さそうな選択肢にするだろうが、それを合意と呼ぶわけではなかろう。
            またコストを「構成員全員で負担している」というのもありえない。
            単に会社と株主が負担しているだけだ。
            もちろん同族会社のような従業員=家族みたいな会社もよくあるだろうが、それがモデルケースかと言われると…

            • by Anonymous Coward

              認証だけに新規に端末契約するのは無駄というポリシー(BYOD)は就業規則か労使協定で定めて労働組合か従業員代表の合意があって成立するものですよ?
              会社側が一方的に労働条件の不利益変更できるわけないじゃないですか。

        • by Anonymous Coward

          むしろ経費ごときが気になる給与水準が問題。
          手取りで月50以上貰ってりゃ細かいことは気にならなくなる。

          # マイクロソフト社員とか私費でmacbook買って仕事してるじゃん笑

      • by Anonymous Coward

        今なら GitHub だったら FIDO2 準拠のセキュリティキーを配ればよいですね

    • by Anonymous Coward

      いまだにインターネット関連のセキュリティ更新があるんでもなければその通りでは。

    • by Anonymous Coward

      そんならWindowsで、WinAuthでも使っときましょうか?
      TOTPに関しては、オープンアルゴリズムだから代替手段がいくらでもあるでしょうよ。
      最悪ガラケーしか無くて、ガラケーのブラウザで使うって状況なら、クラウド系のパスワード管理サイト使いましょうか?
      1Passwordとか、TOTP機能あったんじゃなかった?

      • by Anonymous Coward

        1Passwordで ワンタイムパスワード生成できますね。

  • by Anonymous Coward on 2020年11月13日 16時32分 (#3923653)

    は、皮肉であるってことでいいんですよね?なんだかんだ言っても、もとをたどっていくと結局電話じゃないのか?っていう

    ここに返信
    • by Anonymous Coward

      ストアへのリンク送るだけだからeメールでも同じなんですけどね。

  • by Anonymous Coward on 2020年11月13日 17時08分 (#3923678)

    ってまあ簡単な話、セキュリティのためでなく、安易な複数アカウント取得防止のためにSMSや音声認証にしてるからですよ。
    TOTPアプリだとセキュリティが向上する反面、複垢をいくつも作って割引やチャージバックを受ける不正が簡単になってしまうので、単純な代替たりえない。

    ここに返信
    • by Anonymous Coward

      複垢防止は認証情報を登録する前の話だから多要素認証関係ない。

    • by Anonymous Coward

      違いますよ。単純に電話番号情報が欲しいからです。
      SMS認証という建前にしておけば、電話番号の入力ミスや意図的な誤入力を防げますし、
      堂々と電話番号情報を保存できるという大きなメリットも生まれます。

      そして万が一の時にはその電話番号から個人情報(住所、氏名ほか)を探せますし。

      • by Anonymous Coward

        >そして万が一の時にはその電話番号から個人情報(住所、氏名ほか)を探せますし。

        「IPアドレスが一致した」逮捕、拘留、起訴、有罪確定のときと全く同じ発想だね。
        なりすまし犯罪というものの難しさをまるで分かっていない。

        厳格な本人確認が伴わない限り、入手した電話番号情報は不確かな情報で、万が一のときには役に立たない。

    • by Anonymous Coward

      SMS だって reCAPTCHA だって代行業者がいる時代。なんの保証にもなりゃしない。

      PayPay ポイントバック詐欺とか、まさにその脆弱性をつかれているんだけど。
      https://www.asahi.com/articles/ASNB77RPFNB7UTIL00Q.html [asahi.com]

      • by Anonymous Coward

        これも
        よく考えたらコロナウイルスかかってる人あんまりいないよね笑
        http://blog.livedoor.jp/dqnplus/archives/1998265.html [livedoor.jp]

        ここで見つかったのが1万件超の工作アカウント。
        組織的複数アカウント取得防止効果は皆無。
        (大統領選挙も相当やられただろう。)

  • by Anonymous Coward on 2020年11月14日 10時45分 (#3924023)

    ヤムチャ最弱って言ってるのと同レベルの話な気がする。

    # 最弱も歌舞伎町あたりに放り込めばヤクザ相手に無双するぞ。

    ここに返信
    • by Anonymous Coward

      ミスターサタンのコミュ力がなければ魔人ブウを倒せなかった。サイヤ人は地球人基準だと見事に社会不適合者

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...