mfa
Microsoftアカウントから届いたワンタイムパスコードをDiscordから開いた〔お得情報や無料アイテムを配布と謳うボイスチャットの〕認証ボットに入力(「game公式が無料アイテムを配布してる」と思わせるっていう仕組み?
“実際に、Googleは2段階認証にはセキュリティリスクがあると考えて、SMSで6桁の認証コードを送信するプロセスから、表示されたQRコードをスキャンするプロセスに置き換える計画”
二要素認証を偽装したサービスのフォームに入力したら、簡単にアカウントを窃取されてしまうとのこと
“ハッカーは正規のログインサービスと攻撃対象者との間に入るだけで、メールアドレスとワンタイムパスワードを知ることができます。” それはそうだよね。それでhttpsでサーバーのドメインを証明しようとしてるんだし
これは認証の仕組みの問題ではないのでは... "サーバーの管理者はユーザーのアカウントの乗っ取りを試みています"
世の中の想定を超えたセキュリティ意識の人がターゲットにされると、あらゆるセキュリティが突破されるのがそもそもの問題よな。システムを超えてくる人の間抜けさが凄い
MFAは結局はクライアント認証の強化でしかない。ワンタイムキーを知っていることを以て正しいクライアントであることの確率を高めてるだけなので偽サイトに入力したら終わり。サーバ認証を強化するしかない。
“「そもそも、Minecraftアカウントを認証するのにメールアドレスが必要なのがおかしい」”なるほど?本人はdiscordのbotの認証してるつもりが実はMinecraftアカウント(microsoft?)の二段階認証のコードを渡してるてこと?
2要素認証ならともかく、メールアドレス入れたら直ちに6桁の数字を入れる形式のは1要素でしか検証していない上に、パスワード強度が6桁の数字とかなり脆弱なので、メールアドレスリスト側を総当たりすれば突破できる
前者はフィッシングの亜種だから、公式以外の場所で入力するな、っていうフィッシング対策の鉄則をしっかり守っておけば問題ないでしょ / そんでもってこれはQR形式に変わっても同じ手法で突破されるでしょ
Discordの認証系BOT複雑怪奇に進化してて怖いよ~。こっちはただミームサーバーの絵文字やスタンプが使いたいだけなのに~。と思ったら認証ペンディング状態でも使えたからそのまま放置したり。
パスワードレスなワンタイムコード認証が流行ってきてることへの警鐘って感じ?
MITMもそうだけど、なりすましで乗っ取りもあるからね。
システムが最悪なのではなく、やはり使っている人間が一番最悪なのでは?どんなシステムだって騙されない人は騙されないからね。
"「Microsoftアカウントのパスワードリセットがリクエストされた」という通知にはアカウントを回復するための6桁の番号が書かれているため、1回あたり100万分の1の確率で、アカウントが盗まれる可能性があります。"
Microsoftへの批判みたいだけど認証アプリに移行してるんじゃないか
メールアドレスに送信したコードでの認証はメールを本人しか受け取れないはずというところでセキュリティ担保を試みているが実際には1段階の認証でコード桁数が少ないと脆弱という話?QRコードは桁数を増やすためかな
SMSで6桁の数字、は危ないとは思えないしもう一段安全な工夫もできそうなんだが。「送られた数字を教えてください」に引っ掛かる組は論外として。
コードを人に教えるような人前提だとどんなTFAも無駄。認証がセキュリティキーだけにしてもリカバリーで穴を突かれるか、デバイス故障で詰むサービスなるかの二択。基本無料とかに飛びつくのをやめさせないとw
Yahoo Japanがまさにこれ。自社のサポートコスト削減のために「SMS認証はパスワードより安全!」とユーザを騙しつづけて、フィッシング耐性のない脆弱なSMS認証をゴリ押し。ユーザーの安全と利便性を毀損しているYahoo Japan
改修が必要なのはユーザーの能力だな。
要素→段階
たしかにこれ以外にも容易にPINを入手するシナリオを思いつくな^^;疲れてると引っ掛かる自信もあるわw
黙ってTOTPアプリを使わせてくれや。どーなってんだほんと。
QRコード方式は、フィッシングサイト側がQRコードをライブ中継表示する必要があるので、フィッシングサイト作成難易度がやや上がるのかな。それでもやる人はやるんだろうけど。
本物のサイトから送られてくるのは番号だけだけど、ブラウザではセッション持ってるから、攻撃者はメールアドレスと6桁数字だけじゃログインできなくない?
ユーザーが自分から入力しちゃうんじゃ、どういう仕組みでも無駄なのでは
そもそも「外部アカウントで認証」というシステムが最悪なんだよ。「公式以外の場所で入力するな」って言われても、この方式が普及し過ぎてて警告が形骸化している。
ざっとしかよんでないけどサーバー管理者が攻撃者の場合脆弱ってこと?
メールアドレスか電話番号を入力し6桁のコードが送信されてログインする仕組みは「最悪のパスワードシステム」なので今すぐ改修が必要という指摘
mfa
Microsoftアカウントから届いたワンタイムパスコードをDiscordから開いた〔お得情報や無料アイテムを配布と謳うボイスチャットの〕認証ボットに入力(「game公式が無料アイテムを配布してる」と思わせるっていう仕組み?
“実際に、Googleは2段階認証にはセキュリティリスクがあると考えて、SMSで6桁の認証コードを送信するプロセスから、表示されたQRコードをスキャンするプロセスに置き換える計画”
二要素認証を偽装したサービスのフォームに入力したら、簡単にアカウントを窃取されてしまうとのこと
“ハッカーは正規のログインサービスと攻撃対象者との間に入るだけで、メールアドレスとワンタイムパスワードを知ることができます。” それはそうだよね。それでhttpsでサーバーのドメインを証明しようとしてるんだし
これは認証の仕組みの問題ではないのでは... "サーバーの管理者はユーザーのアカウントの乗っ取りを試みています"
世の中の想定を超えたセキュリティ意識の人がターゲットにされると、あらゆるセキュリティが突破されるのがそもそもの問題よな。システムを超えてくる人の間抜けさが凄い
MFAは結局はクライアント認証の強化でしかない。ワンタイムキーを知っていることを以て正しいクライアントであることの確率を高めてるだけなので偽サイトに入力したら終わり。サーバ認証を強化するしかない。
“「そもそも、Minecraftアカウントを認証するのにメールアドレスが必要なのがおかしい」”なるほど?本人はdiscordのbotの認証してるつもりが実はMinecraftアカウント(microsoft?)の二段階認証のコードを渡してるてこと?
2要素認証ならともかく、メールアドレス入れたら直ちに6桁の数字を入れる形式のは1要素でしか検証していない上に、パスワード強度が6桁の数字とかなり脆弱なので、メールアドレスリスト側を総当たりすれば突破できる
前者はフィッシングの亜種だから、公式以外の場所で入力するな、っていうフィッシング対策の鉄則をしっかり守っておけば問題ないでしょ / そんでもってこれはQR形式に変わっても同じ手法で突破されるでしょ
Discordの認証系BOT複雑怪奇に進化してて怖いよ~。こっちはただミームサーバーの絵文字やスタンプが使いたいだけなのに~。と思ったら認証ペンディング状態でも使えたからそのまま放置したり。
パスワードレスなワンタイムコード認証が流行ってきてることへの警鐘って感じ?
MITMもそうだけど、なりすましで乗っ取りもあるからね。
システムが最悪なのではなく、やはり使っている人間が一番最悪なのでは?どんなシステムだって騙されない人は騙されないからね。
"「Microsoftアカウントのパスワードリセットがリクエストされた」という通知にはアカウントを回復するための6桁の番号が書かれているため、1回あたり100万分の1の確率で、アカウントが盗まれる可能性があります。"
Microsoftへの批判みたいだけど認証アプリに移行してるんじゃないか
メールアドレスに送信したコードでの認証はメールを本人しか受け取れないはずというところでセキュリティ担保を試みているが実際には1段階の認証でコード桁数が少ないと脆弱という話?QRコードは桁数を増やすためかな
SMSで6桁の数字、は危ないとは思えないしもう一段安全な工夫もできそうなんだが。「送られた数字を教えてください」に引っ掛かる組は論外として。
コードを人に教えるような人前提だとどんなTFAも無駄。認証がセキュリティキーだけにしてもリカバリーで穴を突かれるか、デバイス故障で詰むサービスなるかの二択。基本無料とかに飛びつくのをやめさせないとw
Yahoo Japanがまさにこれ。自社のサポートコスト削減のために「SMS認証はパスワードより安全!」とユーザを騙しつづけて、フィッシング耐性のない脆弱なSMS認証をゴリ押し。ユーザーの安全と利便性を毀損しているYahoo Japan
改修が必要なのはユーザーの能力だな。
要素→段階
たしかにこれ以外にも容易にPINを入手するシナリオを思いつくな^^;疲れてると引っ掛かる自信もあるわw
黙ってTOTPアプリを使わせてくれや。どーなってんだほんと。
QRコード方式は、フィッシングサイト側がQRコードをライブ中継表示する必要があるので、フィッシングサイト作成難易度がやや上がるのかな。それでもやる人はやるんだろうけど。
本物のサイトから送られてくるのは番号だけだけど、ブラウザではセッション持ってるから、攻撃者はメールアドレスと6桁数字だけじゃログインできなくない?
ユーザーが自分から入力しちゃうんじゃ、どういう仕組みでも無駄なのでは
そもそも「外部アカウントで認証」というシステムが最悪なんだよ。「公式以外の場所で入力するな」って言われても、この方式が普及し過ぎてて警告が形骸化している。
ざっとしかよんでないけどサーバー管理者が攻撃者の場合脆弱ってこと?