ai-generated-8144417_1280

1: 朝一から閉店までφ ★ 2025/08/19(火) 01:24:16.11 ID:IecwatRY
メールアドレスか電話番号を入力し6桁のコードが送信されてログインする仕組みは「最悪のパスワードシステム」なので今すぐ改修が必要という指摘

アプリやサービスのログイン時に、メールアドレスや電話番号を入力して、メールやショートメッセージで届いたワンタイムパスワードを入力することで認証するプロセスはよくあります。
このようなログインプロセスは、アカウントのセキュリティの観点で非常に危険であると、エンジニアのダニエル・ファン氏が指摘しています。

We replaced passwords with something worse | Blog - Daniel Huang
https://blog.danielh.cc/blog/passwords

ログイン画面のパスワード入力だけではなく、メールアドレスや電話番号に届いた認証コードの両方でログインする「2要素認証」は強力なセキュリティとして重宝されています。
しかし、セキュリティ企業のDouble Octopusによると、「2段階認証はパスワードだけよりもマシ」程度のもので、ハッカーにとってはほとんど無意味だと考えられるそうです。 

(続きはこちら)
https://gigazine.net/news/20250812-login-code/

5: 名刺は切らしておりまして 2025/08/19(火) 02:12:10.09 ID:me6AaIyL
予め登録されたメールアドレスや電話番号にコードを送信するというのはよくあるけどコードを送信するからメールアドレスや電話番号を入れろってのはあるのか?


15: 名刺は切らしておりまして 2025/08/19(火) 06:25:46.28 ID:PVmftZbF
>>5
outlookとか毎回コード送るメアド入れろってなってた気がする

70: 名刺は切らしておりまして 2025/08/19(火) 22:32:20.86 ID:9Eek6p08
>>5
都度 送信先を入力するタイプはある

88: 名刺は切らしておりまして 2025/08/20(水) 14:44:14.65 ID:c+CCYzny
>>5
登録されたメールアドレスや電話番号にコード送る前に、確認のために登録しているメールアドレスや電話番号を入力させるものはあるな
コード送るから送り先入れろってのは新規登録とかで見たことあるような記憶はある

6: 名刺は切らしておりまして 2025/08/19(火) 02:32:20.27 ID:P+AtM9BS
>ハッカーはまず、Minecraftの無料アイテムを提供するなどとうたうDiscordサーバーに招待します。

は?w

21: 名刺は切らしておりまして 2025/08/19(火) 07:44:48.21 ID:sLlgX/Qu
>>6
それな
サイト側が悪用するならセキュリティなんてどれもザルだろうに

20: 名刺は切らしておりまして 2025/08/19(火) 07:38:57.09 ID:m63KIwSH
具体的に何が問題なの?
そして何をすれば良いの?

22: 名刺は切らしておりまして 2025/08/19(火) 07:50:39.26 ID:1xxx9FTM
>>20
サイト側がパスキーを使うようにすればいい
俺達にできることはないもない

24: 名刺は切らしておりまして 2025/08/19(火) 08:05:43.41 ID:Qgu95eL4
パスワードよりマシなら最悪ではないだろ

26: 名刺は切らしておりまして 2025/08/19(火) 08:44:53.43 ID:AKgciQye
フィッシングサイトに誘導した後の話なら、2段階認証がどうとか関係ないだろ…

25: 名刺は切らしておりまして 2025/08/19(火) 08:41:56.07 ID:OH7i4LFp
二要素認証はリアルタイムフィッシングには無力ということ
ちゃんとURL見ろよという以外ない

27: 名刺は切らしておりまして 2025/08/19(火) 08:54:26.33 ID:zIyo2Zmd
二段階認証とか迷惑でしかない
端末何台も持ってると面倒くさい

29: 名刺は切らしておりまして 2025/08/19(火) 09:06:01.57 ID:3Sk8L8sv
>>27
パスキーがあるやん あれ二段階認証せんやろ
PIN聞いてくることはあるけど

30: 名刺は切らしておりまして 2025/08/19(火) 09:09:33.27 ID:diBBqGih
Microsoftのサービスの一部の認証とかかな。
登録済みのメールアドレスとかを改めて入力させるのは、どんな効果を期待してるのかマジで意味がわからんからやめてほしいわ。
登録済みのところに送るだけでいいじゃない。

33: 名刺は切らしておりまして 2025/08/19(火) 09:20:53.56 ID:fYxcOhX8
2段階認証も12ケタパスも余裕で破られてるんだが?
認識が時代遅れ

35: 名刺は切らしておりまして 2025/08/19(火) 10:02:22.96 ID:iE5WPghr
誤魔化しが効かない生体認証が最強なのよ

36: 名刺は切らしておりまして 2025/08/19(火) 10:11:37.55 ID:3Sk8L8sv
>>35
顔認証 破られまくっとるから、色んな角度から取らせるようにしとるんだろ
指紋とか、虹彩もそう 他人に漏れたら コピーされておしまい

って、コナン君がやってたw

38: 名刺は切らしておりまして 2025/08/19(火) 10:41:20.56 ID:4eO0iLRq
SMS認証が気休めというのは、IT世界では共通認識になってきているけどね、メールの添付ファイルを自動圧縮する PPAP 同様、技術の進歩とともに陳腐化するのは世の常

62: 名刺は切らしておりまして 2025/08/19(火) 20:14:26.61 ID:iyBXAazA
>>38
まあメール認証よりは強いけどね

39: 名刺は切らしておりまして 2025/08/19(火) 10:57:41.79 ID:Qp7OKVx/
送信元やメアドを簡単に偽装出来るのがまずダメよね

42: 名刺は切らしておりまして 2025/08/19(火) 11:41:44.19 ID:0alAeV25
パスキーは勘弁してほしい
複数端末で扱うとログインするのにわけわからん

45: 名刺は切らしておりまして 2025/08/19(火) 12:05:11.65 ID:EJ7QYcd+
パスキーは数字の4桁の入力だけとか指紋認証だけでとか一見シンプルになってるように見えるけど内部は複雑だからな
パスキーを紛失した時の為にコードを保存してくださいとか結局パスワードようにどこかに保存しないといけないし
それに現状ではIDとパスワードでアカウント作ったうえで追加でパスキーだからセキュリティ的にはなんも変わってない

64: 名刺は切らしておりまして 2025/08/19(火) 20:21:09.39 ID:iyBXAazA
>>45
何も変わってないことはないよ
秘密情報は外に出さずに認証するんだから
ただ「セキュリティデバイスを持っている」認証なわけで
壊れた時のセイフティネットとか課題は色々大きいのも確か

46: 名刺は切らしておりまして 2025/08/19(火) 13:24:04.18 ID:ls/58oOm
google workspace用に携帯貸与されてない人のために1個の携帯番号で認証したら、
その番号使いすぎゴラァで
再認証待機期間 半年の刑にされた私が通りますよ。

47: 名刺は切らしておりまして 2025/08/19(火) 13:36:53.15 ID:pY4A4H1W
公式のリンク以外信用するなと言いたいが
PCと違ってスマホだとブラウザもメールもメッセージアプリも
リンク先のアドレスが分かりづらいからな
PCだとマウスカーソル重ねるだけでリンク先偽装でも表示されたりするけど

56: 名刺は切らしておりまして 2025/08/19(火) 15:44:30.10 ID:fPUrogtl
PPAPよりはマシやろ

57: 名刺は切らしておりまして 2025/08/19(火) 15:46:49.31 ID:fPUrogtl
Authenticatorはどうなの?

61: 名刺は切らしておりまして 2025/08/19(火) 20:13:18.37 ID:iyBXAazA
>>57
TOTPは強いよ
ただ最近はキーを共有できるタイプが出てきてるから運用には要注意

59: 名刺は切らしておりまして 2025/08/19(火) 17:20:59.88 ID:OH7i4LFp
フィッシングメールっておれおれ詐欺のデジタル版みたいなものだな
おれおれ詐欺の対策は電話をかけなおせ、フィッシング対策は自分で正しいURLにアクセスする

65: 名刺は切らしておりまして 2025/08/19(火) 20:32:45.46 ID:YF8r/h0v
>>59
だいたいその通りなんだけど、フィッシングはインターネット経由なので
攻撃を仕掛けるコストが桁違いに低いのが問題の本質かな
常に注意し続けることはできないのでまあ避けられんわ

IPv6がもっと普及して固定IPが一般的になれば、
フィッシングでIDパスワード抜かれてもIP接続元制限で守れるけど
実際には管理が難しいな

60: 名刺は切らしておりまして 2025/08/19(火) 18:02:32.09 ID:6xVZvJuj
電話かかってくるのもあるわ

66: 名刺は切らしておりまして 2025/08/19(火) 20:34:04.65 ID:YF8r/h0v
スマホというPC以上に欠陥の多い代物が覇権なので
どうにもならん

67: 名刺は切らしておりまして 2025/08/19(火) 20:42:38.15 ID:iyBXAazA
>>66
えっ!?
スマホは記憶領域の分離とかWindowsにはないセキュリティ機能満載ですけど

69: 名刺は切らしておりまして 2025/08/19(火) 21:50:21.69 ID:ivm/aBET
そもそも100%堅牢なセキュリティを国民が持てたとしても
常に覗き見て漏洩させる可能性がある組織がある

おまえらが契約している通信会社だよ

78: 名刺は切らしておりまして 2025/08/20(水) 02:47:11.05 ID:ofdMEvpE
パスワードレスとかGPS認証
1番確実なのはログインできる場所を限定する事よなー
日本以外からのログイン禁止にすりゃかなりセキュリティはあがる
ログインできる地域を限定するとかありよなー

79: 名刺は切らしておりまして 2025/08/20(水) 02:48:31.16 ID:ofdMEvpE
世界中どこからでもログインできる機能なんて必要ない説

81: 名刺は切らしておりまして 2025/08/20(水) 05:41:29.91 ID:3b+Otp7u
>>1
>しかし、セキュリティ企業のDouble Octopusによると、「2段階認証はパスワードだけよりもマシ」程度のもので、ハッカーにとってはほとんど無意味だと考えられるそうです。

パスワードだけよりまし
これがどれほど重要か理解してない専門家なんていない
もっと安全にしようって話はいいんだけど
無意味なんて放言は害悪

82: 名刺は切らしておりまして 2025/08/20(水) 06:09:06.18 ID:SMpLuxsC
余計なこと言うなよw
クライアントがみたらまた無料で改修しろとかいいだすやん

83: 名刺は切らしておりまして 2025/08/20(水) 06:11:45.06 ID:4BotrrWv
なんかうまい方法はないもんかねえ
確実に防げてユーザも簡単ですむような
或いはこういう行為を無くさせたり、実質無意味化するようなのでもいい

87: 名刺は切らしておりまして 2025/08/20(水) 11:11:07.67 ID:75lUER0L
>>83
金融サービスなんかが導入してるFIDO2を普通のサイトも導入すれば良いだけ
ログインできなくなったときの代替案だけ工夫する必要はあるけど

89: 名刺は切らしておりまして 2025/08/20(水) 17:01:37.90 ID:UTWWiRvB
>>1
当該サービスに直接ログインするんじゃなくて、他のサービスにログイン情報教えて間接的にログインするって話?

別サービスに教えてしまったら盗まれるに決まっている
2段階認証とか関係ない

92: 名刺は切らしておりまして 2025/08/21(木) 15:42:38.48 ID:5kxswnvM
職場の爺さんは
「〇〇カードからのフィッシングメール来たが、オレは〇〇カード持ってないから見抜けた」
と堂々と言ってのけた

引用元: https://egg.5ch.net/test/read.cgi/bizplus/1755534256/

ESET HOME セキュリティ プレミアム| 5台3年 |カード版|ウイルス対策|Win/Mac/Android/iOS対応
キヤノンITソリューションズ
タグ :
#セキュリティ
#パスワード
#SMS認証
#メールアドレス