二段階認証の安全性を信頼出来なくなってきた [ニュース]
【Sponsored Link】
最近、二段階認証の安全性に疑問符が浮上にする様になってきた。
二段階認証とは、アカウント名とパスワードを入れた後に、更にもう一つ認証コードを入れないとアカウントにアクセス出来なくする仕組みだ。
二段階目の認証方法には色々あって、メールに一度しか使えない暗証番号が届いたり、ボイスメールやSMSで番号が送られてくることがある。これらは、全て時間などを基準にランダムにその時だけ発行するものなので、一度使ったり、時間が過ぎれば誰かにバレても別に問題はない。
グーグル、ヤフー、フェイスブックと各種有名SNSでは使われていおり、銀行でも当たり前の様に導入されている。
三井住友銀行などは、パスワード生成装置を無料で配布しているほどだ。
その三井住友銀行でも、二段階認証が突破されている。
銀行口座を持っていれば、おそらく一度は聞いたことがあるかも知れないが、
偽物のホームページに誘導してそこにアカウントや極秘情報を入力させると言う手口。
これに対する対抗策の一つだったのだが、要は偽物のHPを経由して本物のHPにその場でアクセスすることで、時間単位で発行されているワンタイムパスワードを突破出来てしまうということらしい。これはつまり、ニセのアカウント経由して、ログインした直後、いきなり現金が引き出されているということを意味する。
ログイン時間と見知らぬ送金時間が同じなのだから、戦慄することだろう。
中々に恐ろしい手口だ。
ただ、偽物のホームページを見分ける術はあるので、これに関してはユーザーが気をつけていれば問題はない。
問題は、ボイスメール方式で二段階認証を使える様になっているサービス。
google, Yahoo, Facebook, LinkedInなど数多くのサービスで使われている。
【Sponsored Link】
これは、何らかの手段でユーザーのアカウント名とパスワード、それから電話番号が分かれば出来てしまう。
一応、それを使うためのツールとして、SoofCardの様な発信者電話番号偽装サービスが必要だが、比較的誰にでも使えるので問題は無い。
発信者番号偽装サービスは、本来自分の番号を知られたくない時やかけ直す際に別の番号に掛けて欲しい時に使うサービスであって、悪用するものではない。
でもまあ、プロキシや軍用のIP偽装ソフト「Tor」も本来は悪用するためのものではなく、プライバシーを守るためのモノで、使う人によって何でも悪用できるという良くある例の一つと言うことになる。
IDとパスワード、電話番号の入手難度はそれなりに高いので、簡単ではないが、
手に入ってしまえば、やることは至極シンプルだ。
IDとパスワードでログインし、ボイスメールを送ってもらう際に、自分でIDの持ち主に電話を掛ける。
そうすると、話し中に受け取られたボイスメールは電話会社のサーバーに保存されるので、自分の携帯を偽装してサーバーに問い合わせれば、ボイスメールの内容を間違って教えてくれてしまうというわけだ。
要は、IDとパスワードを入れて、二回電話すれば事足りる。簡単すぎて恐ろしい。
まあ、これは電話会社で対策すれば済むし、二段階認証にボイスメールを使わなければ良い。
この手のセキュリティ突破は、いつでも犯罪者とのイタチごっこだが、
こう言った情報に常に耳を傾けていないと、知らない内に自分のアカウントが乗っ取られていることもあるかも知れない。
【Sponsored Link】
【オススメ記事一覧】
ノーヒットノーランならず、完全試合も有り得たダルビッシュの悔.
残業代なし?成果報酬?理想の働き方ってなんだろう
小保方氏のとばっちり、調査委員の三人(現職二人)
ベトナムに旅行するなら、日の丸を忘れずに
キューバ人選手のセペダとグリエル、年俸一億円の価値とは?
最近、二段階認証の安全性に疑問符が浮上にする様になってきた。
二段階認証とは、アカウント名とパスワードを入れた後に、更にもう一つ認証コードを入れないとアカウントにアクセス出来なくする仕組みだ。
二段階目の認証方法には色々あって、メールに一度しか使えない暗証番号が届いたり、ボイスメールやSMSで番号が送られてくることがある。これらは、全て時間などを基準にランダムにその時だけ発行するものなので、一度使ったり、時間が過ぎれば誰かにバレても別に問題はない。
グーグル、ヤフー、フェイスブックと各種有名SNSでは使われていおり、銀行でも当たり前の様に導入されている。
三井住友銀行などは、パスワード生成装置を無料で配布しているほどだ。
その三井住友銀行でも、二段階認証が突破されている。
銀行口座を持っていれば、おそらく一度は聞いたことがあるかも知れないが、
偽物のホームページに誘導してそこにアカウントや極秘情報を入力させると言う手口。
これに対する対抗策の一つだったのだが、要は偽物のHPを経由して本物のHPにその場でアクセスすることで、時間単位で発行されているワンタイムパスワードを突破出来てしまうということらしい。これはつまり、ニセのアカウント経由して、ログインした直後、いきなり現金が引き出されているということを意味する。
ログイン時間と見知らぬ送金時間が同じなのだから、戦慄することだろう。
中々に恐ろしい手口だ。
ただ、偽物のホームページを見分ける術はあるので、これに関してはユーザーが気をつけていれば問題はない。
問題は、ボイスメール方式で二段階認証を使える様になっているサービス。
google, Yahoo, Facebook, LinkedInなど数多くのサービスで使われている。
【Sponsored Link】
これは、何らかの手段でユーザーのアカウント名とパスワード、それから電話番号が分かれば出来てしまう。
一応、それを使うためのツールとして、SoofCardの様な発信者電話番号偽装サービスが必要だが、比較的誰にでも使えるので問題は無い。
発信者番号偽装サービスは、本来自分の番号を知られたくない時やかけ直す際に別の番号に掛けて欲しい時に使うサービスであって、悪用するものではない。
でもまあ、プロキシや軍用のIP偽装ソフト「Tor」も本来は悪用するためのものではなく、プライバシーを守るためのモノで、使う人によって何でも悪用できるという良くある例の一つと言うことになる。
IDとパスワード、電話番号の入手難度はそれなりに高いので、簡単ではないが、
手に入ってしまえば、やることは至極シンプルだ。
IDとパスワードでログインし、ボイスメールを送ってもらう際に、自分でIDの持ち主に電話を掛ける。
そうすると、話し中に受け取られたボイスメールは電話会社のサーバーに保存されるので、自分の携帯を偽装してサーバーに問い合わせれば、ボイスメールの内容を間違って教えてくれてしまうというわけだ。
要は、IDとパスワードを入れて、二回電話すれば事足りる。簡単すぎて恐ろしい。
まあ、これは電話会社で対策すれば済むし、二段階認証にボイスメールを使わなければ良い。
この手のセキュリティ突破は、いつでも犯罪者とのイタチごっこだが、
こう言った情報に常に耳を傾けていないと、知らない内に自分のアカウントが乗っ取られていることもあるかも知れない。
【Sponsored Link】
【オススメ記事一覧】
ノーヒットノーランならず、完全試合も有り得たダルビッシュの悔.
残業代なし?成果報酬?理想の働き方ってなんだろう
小保方氏のとばっちり、調査委員の三人(現職二人)
ベトナムに旅行するなら、日の丸を忘れずに
キューバ人選手のセペダとグリエル、年俸一億円の価値とは?
コメント 0