SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案 23
ストーリー by hylom
ロック中でも表示されちゃいますしねぇ 部門より
ロック中でも表示されちゃいますしねぇ 部門より
米NIST(国立標準技術研究所)が、SMSを用いた二要素認証は安全ではないとして非推奨とする方針を出したという(TechCrunch)。
SMSは電話番号だけで送信でき、すでに機械的にSMSを自動送信する手段が普及しているため、手軽な二要所認証手段として使用されている。しかし、通信内容の盗み見や傍受、改ざんなどの可能性があるなどとして、NISTのガイドラインではSMSを使った二要素認証について非推奨とし、さらに今後は不許可とする方針だそうだ。
Google アカウント等は2段階認証を有効にするとかえって脆弱になることも(ソーシャルハッキング) (スコア:2)
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。
しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、挙句の果てに画面ロックまで解除されてしまいます。
アカウントを奪う方法は簡単で、
と、ターゲットのスマホで自動音声コードを取得する以外はすべてWebで完結します。そして、Android スマホの画面ロックは、Googleアカウントによる認証で解除可能なので、スマホ内に保存された全データを盗み取れてしまいます。不倫の証拠なども簡単に確保できてしまいますね。
そもそも、Googleアカウントに電話番号を登録していなければこの方法は使えないので、2段階認証を有効にするために電話番号を登録するとソーシャルハッキングに対しては、かえって脆弱になると言えます。
昔は、パスワードの再登録には「秘密の質問への答え」と「生年月日」が要求されるサービスが多く、「秘密の質問への答え」を推測不可能なものにすることで自衛が可能でした。しかし、秘密の質問の問題が指摘されるようになり [it.srad.jp]、音声通話・SMSを認証に使う方法が主流になったことにより、ユーザー側での自衛が困難な新たなセキュリティリスクが生じてしまいました。電話番号を複数所持して、パスワードの復旧用の電話番号(パスワード忘れ用)や2段階認証用のコード受け取り用に登録する電話番号を普段持ち歩いている携帯電話と別のものにするといった対策は可能ですが、電話番号・電話機を複数所持している必要があります。
パスワードの再登録(アカウントの回復)を有料化し、アカウントの名義と同じ氏名のクレジットカードを必須としたうえで、パスワードの再登録に3日ぐらい時間がかかるようにして、「あなたのGoogleアカウントのパスワードが再登録されようとしています。あなた自身がこの手続きをしていない場合にはアカウントが乗っ取られようとしています。」といったメールとSMSを数時間おきに送信する仕様に変更すべきだと思います。
Re: (スコア:0)
ハック対象の人になりすましてSIMカードを無くしたと携帯電話会社に言って新しい正規のSIMを発行させて奪うという方法も最近ありましたね。
こちらだと物理的に近づく必要すらないので(暗証番号とかの問題はありますが)、SMSや電話でパスワードリセットができるサービスのセキュリティは電話会社のソーシャルハッキングに対するセキュリティより高くならないことになります。
想定してみた(浅知恵で) (スコア:1)
2段階認証で認証キーを受け取る場合。
もしその認証キーを受け取る端末に悪意あるSMS読み取りアプリが入れられていたら、そこから認証キーが奪われる可能性があるとか?
アプリインストール時にSMS読み取り許可見てれば防げそうだけど、わざわざそこまで気にしないからなぁ。
以後気をつけよっと。
hiwa翻訳は読みづらいから原文貼る (スコア:1)
If the out of band verification is to be made using a SMS message on a public mobile telephone network, the verifier SHALL verify that the pre-registered telephone number being used is actually associated with a mobile network and not with a VoIP (or other software-based) service. It then sends the SMS message to the pre-registered telephone number. Changing the pre-registered telephone number SHALL NOT be possible without two-factor authentication at the time of the change. OOB using SMS is deprecated, and will no longer be allowed in future releases of this guidance.
https://techcrunch.com/2016/07/25/nist-declares-the-age-of-sms-based-2... [techcrunch.com]
- 二要素認証にSMSを使う場合は、番号が(攻撃者の受け取りやすい)VoIP等ではないことを確認しなければならない(SHALL)。
- 登録済電話番号の変更をする際には、二要素認証が必須でなければならない(SHALL NOT)。
- Out-of-band 認証へのSMSの使用は非推奨(deprecated)であり、将来のガイダンスでは認められないものとする。
スマホアプリの認証アプリ使えばいいしね (スコア:0)
えっガラケー?ガラケー使う人は二要素認証が必要なオンラインサービスなんか使わないでしょ(^^
Re: (スコア:0)
スマホが壊れた場合の、復旧手段の管理が面倒なんだよなぁ
Re: (スコア:0)
ガラケーは既にSSLを始めとした暗号化規格に追従できてないので
ネットに繋ぐこと自体がリスキー
Re:スマホアプリの認証アプリ使えばいいしね (スコア:1)
SMSを受け取る行為のどこにSSLが関係するの?
Re: (スコア:0)
認証して接続する際にSSL暗号化されてないサービスを使うつもりなんでしょうか?
揚げ足取ったつもりが自分の無知さらしてるだけってオチになってませんか?
Re:スマホアプリの認証アプリ使えばいいしね (スコア:1)
SMS受け取った端末でそのままアクセスしたりしないでしょう。
SMSの2要素認証って、典型的な使い方は、
・PCでアクセスする際
・6桁くらいの数字がSMSで携帯に送られてきて
・それをPCに入力して認証
ですよ。認証デバイスそのものでアクセスしたら2要素認証の意味ない(とまでは言わないが、効果のわりに却って操作がめんどくさい)じゃん。
Re: (スコア:0)
Re: (スコア:0)
このコメントから分かることが二つあると思う。
1) このACさんは携帯電話網がそもそもTCP/IPで動いてないことを知らない
2) このACさんは二要素認証の「二」が何を意味するかさっぱり分かっていない
Re: (スコア:0)
SMS受け取るだけなのに?
実際のところ (スコア:0)
「じゃあ他にどんな手段があるんだよ」ってのがあって。
2段階認証の意義は、どちらかというと2段目の認証がセキュアなことよりも、2段目の認証が1段目と違うルートを使っていることにあるわけじゃん
ぶっちゃけ特定ユーザーのPC通信内容とSMSの両方を盗聴できる状態にあったら、それ以外の2段階認証を実装したとしてもあっさり破られそうだと思うけどなぁ
いやまあ生体認証デバイスの統一規格とか出て普及したら話は変わってくるかもしれんが
Re:実際のところ (スコア:1)
アメリカとか特有の事情みたいっすな
「SMSの送信先が回線交換じゃない」場合に盗聴の可能性があるから…という話らしい
日本だとまだ当てはまらないんじゃないかな
Re: (スコア:0)
sms使うのがいけないので、SSLとかセキュアなプロトコル通せばいいんじゃない?
やはりここは (スコア:0)
伝書バト認証にするしかない。異論は推奨する。
Re: (スコア:0)
そこは狼煙かモールス信号だよ
Re: (スコア:0)
ダダ漏れLINE使うよりはマシか
Re: (スコア:0)
多段階認証がベストだろう。つまりF2FとDNAテストと声紋。
Re: (スコア:0)
RFC1149 [wikipedia.org]のターンか
これを契機に (スコア:0)
無駄に二要素認証を強制しているサービスとか考え直してくれると嬉しいな