Twitterの2段階認証、企業などの公式アカウントでは役に立たない？

Twitterの2段階認証、企業などの公式アカウントでは役に立たない？ 16

ストーリー by headless 2013年05月26日 15時35分
認証部門より

AP通信など大手メディアの公式アカウント乗っ取りが相次いだことを受けてTwitterでは2段階認証を導入したが(日本では未導入)、企業などの公式アカウントでは利用できない可能性をSophosが指摘している( Naked Securityの記事、 PCMag.comの記事、本家/.)。

Twitterの2段階認証ではログインの際、登録した携帯電話番号にSMSで認証コードが送信される。この認証コードを入力することでログインが完了する仕組みだが、企業などの公式アカウントは複数のスタッフが共有していることが多い。2段階認証で登録できる携帯電話番号は1つだけなので、このようなアカウントで2段階認証を有効にするのは難しいとしている。

一方、2段階認証を有効にした場合も、フィッシングサイトを使用した攻撃に引っかかってしまえば簡単に突破されてしまうという。セキュリティー企業ToopherのCEO、Josh Alexander氏の解説によれば、攻撃者は攻撃対象となるユーザーをフィッシングサイトに誘導して偽のログイン画面でTwitterのログイン情報を入力させる。入力された情報を使用して攻撃者がTwitterにログインすると、ユーザーの携帯電話に認証コードが送信される。あとは偽の認証コード入力画面で認証コードを入力させれば、攻撃者は必要な情報をすべて入手できることになるとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索16コメント Log In/Create an Account

複数のIDでひとつのアカウントにログインできる仕組みを (スコア:5, すばらしい洞察)

by Mozamimy (40461) on 2013年05月26日 18時39分 (#2388256) ホームページ

そもそも複数のユーザが「1つのIDを共有している」時点で、何かおかしいような気がします。
面倒だから上司のIDとパスワードを借りてログインする、というような行為と同じにおいがします。

簡単でないのはわかっていますが、企業向けに複数の別のIDで、ひとつのアカウントにログインできるような仕組みが必要だと思います。
万が一の際には、誰から漏れたのかわかりやすくなってよさそうですし。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  企業向けならSSL証明書と連動できればどうかな
もともとフィッシング対策ではない (スコア:1)

by Anonymous Coward on 2013年05月26日 15時52分 (#2388177)

って当たり前の事を言われましても…(困惑)
- Re: (スコア:0)
  
  by Anonymous Coward
  
  そうですよね。
  もともとスパムSMSの送信先番号を入手するための言ってみればこのシステム自体がフィッシングの一種ですからね。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    Twitterはどうか知りませんが、GoogleやDropbox、Microsoftの2段階認証はSMSなんか必要ないですよ。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      Googleの2段階認証は電話による案内かSMSの選択ですよ。
      - Re:もともとフィッシング対策ではない (スコア:1)
        
        by Anonymous Coward on 2013年05月27日 11時04分 (#2388474)
        
        GoogleとDropboxは　Google Authenticatorを使用。
        http://ja.wikipedia.org/wiki/Google_Authenticator [wikipedia.org]
        電話、SMS以外でも使用可能。
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        GoogleAuthenticatorをアクティベートするのに音声電話かSMSがいるんだわ。
        まあ電話のほうはとにかくかかってくる音声電話を着信できさえすればいいから、
        設定時に使う電話番号は出先の定食屋のピンク電話なんかでもいいけどね。
    - - Re: (スコア:0)
        
        by Anonymous Coward
        
        なんでまっとうなこと書いてるのにマイナスモデなんだ？
そういう時こそ弊社のセキュリティソリューションを……… (スコア:0)

by Anonymous Coward on 2013年05月26日 15時47分 (#2388175)

とベンダーが揉み手のアップを始めました(笑)
とりあえず三か月遅れで日本で発表になったSymantec O3あたりは使えるんじゃないかと。
企業内利用者はSymantecに対してのシングルサインオンで入れて、クラウドサービスのパスワードは利用者にもわからない(ので退職とかで権限なくなったらアクセスできない)とのこと。
※それってO3にパスワード預けますってサービスだよなぁ(´･ω･`)
- Re:そういう時こそ弊社のセキュリティソリューションを……… (スコア:2)
  
  by 90 (35300) on 2013年05月26日 15時56分 (#2388178) 日記
  
  え、それってそのシステムが実際のサービスを叩いてログインするんですよね、なんか危険な香りが…利用者はクラウドサービスのパスワードリセットもできなそう
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    え、それってそのシステムが実際のサービスを叩いてログインするんですよね、なんか危険な香りが…利用者はクラウドサービスのパスワードリセットもできなそう
    そういう説明でした。パスワード管理は管理者がコンソールでやると思います。
    (どうせやるなら毎日勝手に変えちゃうのもいいと思うんですが、さすがにそこまでしないと思う)
    クラウドベンダーからするとO3管理のIPアドレス経由でしかサインインされないので、そこ以外ログインできないオプションがあるといいかもしれない。ただ、Symantecだからまだ何とかなるにしても、振興ベンダーだと信用されないだろうなぁ
- Re: (スコア:0)
  
  by Anonymous Coward
  
  スクエニが導入したような
  一時キーを出力する端末を販売するとかはいいんじゃないかなあ？
  ２段階認証orハードみたいな感じで
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    一時キーを出力する端末
    それなんてRSAトークン？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    スクエニが導入したもの、それそのものを2段階認証(2要素認証)と呼ぶんですが...

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Twitterの2段階認証、企業などの公式アカウントでは役に立たない？ 16

Twitterの2段階認証、企業などの公式アカウントでは役に立たない？ More ログイン

複数のIDでひとつのアカウントにログインできる仕組みを (スコア:5, すばらしい洞察)

Re: (スコア:0)

もともとフィッシング対策ではない (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:もともとフィッシング対策ではない (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

そういう時こそ弊社のセキュリティソリューションを……… (スコア:0)

Re:そういう時こそ弊社のセキュリティソリューションを……… (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラド