(あとで検証してみる)
どーしよかなー 電話番号も端末も複数持ってないし アカウント本名と趣味と分けたいけどなー 「2FAの要素はメールアドレス以外に設定しましょう Xみたら、2FAが電話番号・Authenticator App・Security Keyの3択になっていま」
そもそもログインするのにールアドレス変更までたどり着けない気がするけど
パスワードを定期的に変更するのをおすすめされた……
「あと、それでもパスワードはセキュリティの要です。定期的に変更するのをオススメします。」→ これ、同じパスワードを使いまわしてなければ無問題だろ。定期的な変更の方が悪手って結論出てるの知らないのか?
どう考えてもガセネタで悪質なデマですね。本人(自称セキュリティの専門家)に悪意がないのなら、どうしてこのような勘違いに至ったのか、後日、その経緯を明らかにしてほしいところ。
JPKI使うとか
他の選択肢がある場合は2FAにメールアドレスを設定してないけど、2FA用メールアドレスとアカウントのメールアドレスって、必ず連動してるの? https://zenn.dev/grandchildrice/articles/a007075c0ec99c
2FAが設定されてるのにパスワードでメールアドレスを変更?どうやって?
えっそうなの?推奨されなくなったものと思っていた→「定期的に変更するのをオススメします。」
ログインしないとメールアドレス変更できない。ログインは2faが必要。結果パスワードだけで2faは突破できない。となるはずなのでcontact supportに、連絡とかしないと不可能だと思われる。ただそれなら他の2faメソッドもだめ
メールアドレスへのアクセス権限を盗まれたら終わるからメールを使った2FAは駄目!という話かと思ったら違った
ChatGPT:「メール2FAは危険」は一部正しいが誇張ぎみ。多くのサービスは2FAや通知で防御しており、簡単に乗っ取られるわけではない。
そもそもどうやってメールアドレス変更するのか謎。メールアドレス変更画面に辿り着くまでに2FAを要求される。サービスごとにパスワード変えてアカウントのログインとメール受信同時にやられないようにね、が正しい。
このレベルの既存システムが未熟で危険視するネタは、TikTok、Instagramなどのショート動画で多く出回っていそう。謎のセキュリティー啓発ネタ(フェイク)が流行りそうだな。コーラ膣洗浄みたいな
「定期的に変更する」でこの人の認識が10年遅れていることに気づけるのがミソ。
セキュリティ最高峰とされるNIST(アメリカ国立標準技術研究所)のパスワード方針“Forcing users to change passwords regularly doesn’t improve security and can actually be counterproductive” https://cybersecuritynews.com/nist-rules-password-security/
これ本当なの?これが出来たらバックアップコードの意味なくない? / "端末を紛失したユーザーが唯一覚えているパスワードで復旧できるようにするためです"
この記事が本当か知らないけど、メールが使えない場合の復旧の話だと理解できてないコメントが多い。
メールアドレス認証2FAはパスワードだけで突破できるからやめておけ
(あとで検証してみる)
どーしよかなー 電話番号も端末も複数持ってないし アカウント本名と趣味と分けたいけどなー 「2FAの要素はメールアドレス以外に設定しましょう Xみたら、2FAが電話番号・Authenticator App・Security Keyの3択になっていま」
そもそもログインするのにールアドレス変更までたどり着けない気がするけど
パスワードを定期的に変更するのをおすすめされた……
「あと、それでもパスワードはセキュリティの要です。定期的に変更するのをオススメします。」→ これ、同じパスワードを使いまわしてなければ無問題だろ。定期的な変更の方が悪手って結論出てるの知らないのか?
どう考えてもガセネタで悪質なデマですね。本人(自称セキュリティの専門家)に悪意がないのなら、どうしてこのような勘違いに至ったのか、後日、その経緯を明らかにしてほしいところ。
JPKI使うとか
他の選択肢がある場合は2FAにメールアドレスを設定してないけど、2FA用メールアドレスとアカウントのメールアドレスって、必ず連動してるの? https://zenn.dev/grandchildrice/articles/a007075c0ec99c
2FAが設定されてるのにパスワードでメールアドレスを変更?どうやって?
えっそうなの?推奨されなくなったものと思っていた→「定期的に変更するのをオススメします。」
ログインしないとメールアドレス変更できない。ログインは2faが必要。結果パスワードだけで2faは突破できない。となるはずなのでcontact supportに、連絡とかしないと不可能だと思われる。ただそれなら他の2faメソッドもだめ
メールアドレスへのアクセス権限を盗まれたら終わるからメールを使った2FAは駄目!という話かと思ったら違った
ChatGPT:「メール2FAは危険」は一部正しいが誇張ぎみ。多くのサービスは2FAや通知で防御しており、簡単に乗っ取られるわけではない。
そもそもどうやってメールアドレス変更するのか謎。メールアドレス変更画面に辿り着くまでに2FAを要求される。サービスごとにパスワード変えてアカウントのログインとメール受信同時にやられないようにね、が正しい。
このレベルの既存システムが未熟で危険視するネタは、TikTok、Instagramなどのショート動画で多く出回っていそう。謎のセキュリティー啓発ネタ(フェイク)が流行りそうだな。コーラ膣洗浄みたいな
「定期的に変更する」でこの人の認識が10年遅れていることに気づけるのがミソ。
セキュリティ最高峰とされるNIST(アメリカ国立標準技術研究所)のパスワード方針“Forcing users to change passwords regularly doesn’t improve security and can actually be counterproductive” https://cybersecuritynews.com/nist-rules-password-security/
これ本当なの?これが出来たらバックアップコードの意味なくない? / "端末を紛失したユーザーが唯一覚えているパスワードで復旧できるようにするためです"
この記事が本当か知らないけど、メールが使えない場合の復旧の話だと理解できてないコメントが多い。