メールアドレス認証2FAはパスワードだけで突破できるからやめておけ

みなさん、XやTelegramやLinkedInの2FAをメールアドレスにしていませんか？ 実は、これだと意味がありません。パスワードがバレてしまった場合、容易に突破されてしまいます。 実際、わたしの友人何人かは、この脆弱性を突かれてアカウントを乗っ取られています。 本記事では、そのメカニズムと対策を図を交えて解説します。 アカウント乗っ取りの流れ まず前提として、フィッシングに引っかかったなどでSNSのパスワードが流出したとします。 パスワードを入手したハッカーは、以下の手順でアカウントを乗っ取ることができます。 パスワードを使って「メールアドレス変更」する 新しいメールアドレスでアカウント認証する 新しいメールアドレスに認証コードが届き、アカウントへログインできる はい、そうです。多くのSNSではメールアドレス変更を先に行うことで2FAを突破できるんです。 なぜこれが起きるのか？ 多く

[meganeya3]

パスワードを定期的に変更するのをおすすめされた……

[zkq]

「定期的に変更する」でこの人の認識が10年遅れていることに気づけるのがミソ。

[megumin1]

どう考えてもガセネタで悪質なデマですね。本人（自称セキュリティの専門家）に悪意がないのなら、どうしてこのような勘違いに至ったのか、後日、その経緯を明らかにしてほしいところ。

[theatrical]

ログインしないとメールアドレス変更できない。ログインは2faが必要。結果パスワードだけで2faは突破できない。となるはずなのでcontact supportに、連絡とかしないと不可能だと思われる。ただそれなら他の2faメソッドもだめ

[circled]

「あと、それでもパスワードはセキュリティの要です。定期的に変更するのをオススメします。」→ これ、同じパスワードを使いまわしてなければ無問題だろ。定期的な変更の方が悪手って結論出てるの知らないのか？

[uzusayuu]

えっそうなの？推奨されなくなったものと思っていた→「定期的に変更するのをオススメします。」

[higgsino]

パスワードリセットで新しいメールアドレスに送信出来るって7payの不正利用事件のやつじゃん。まともなサービスならそんなことしないよ

[suka6411144]

仮にそういうサービスがあったとしてもそれはサービス側の脆弱性と考えるのが普通だと思う

[monbobori]

telegramの2FAにメアド以外の選択肢がないような…/書いたの若い学生さんみたい

[iamamachine]

セキュリティ最高峰とされるNIST（アメリカ国立標準技術研究所）のパスワード方針“Forcing users to change passwords regularly doesn’t improve security and can actually be counterproductive” https://cybersecuritynews.com/nist-rules-password-security/

[deep_one]

コメントを見て。パスワードはツールに生成させてかんりするなら定期的に変更してもよいぞ。常識である。

[secseek]

そもそも2FA自体が時代遅れなので今から新しく導入することはないでしょう

[JULY]

これ、「パスワード認証のみで通知先メールアドレスが変更可能」というサイト側の脆弱性。昔、重要なリクエスト時に送るメールのアドレスを都度入力、というサイトがあったなぁ。

[tettekete37564]

“パスワードを使って「メールアドレス変更」する” < 2FA通さずにこれできちゃうサービスが脆弱なだけでは？

[yoshi-na]

人様のキャラと名前を騙ってるヤツにセキュリティを語って欲しくないです

[pmint]

自称セキュリティ専門家がやりそうな手口。何のパスワードか書いてない点で、理解の浅さもバレてる。"いまXみたら、2FAが電話番号・Authenticator App・Security Keyの3択になっていました"…前からそうだけど。やってるね、これ

[ROYGB]

パスワードのみで変更可能なのがまずいのならメール以外の二段階認証もダメなのではないかな。

[onesplat]

勘違いしてる奴も多いけど、本人のリテラシーが十分に高いならパスワード定期変更したほうがええんやぞ。そういう読者向けの記事なんちゃいますの。

[favoriteonline]

bioの「暗号やセキュリティやブロックチェーンについて研究しています」これ見て、パス変更のくだりみて自称はあてにならないなと思った

[taguch1]

パスワードの定期変更で有効なのは運営会社がセキュリティインシデントを隠蔽する可能性が高い場合くらいだけど、それがわかってるならサービス使うのやめた方が安全という結論。

[appleseedz]

根本的に話がおかしくないか？ パスワード盗まれてログインされた際のメールアドレスに通知された2FAは誰がやるの？ 乗っ取られた人が間違えてやったならそっちの問題じゃない？

[soxandcity]

おそらくですが「パスワードを忘れた場合はこちら」からのパスワード変更の話をしているんでしょう

[lli]

旧メールアドレス側の認証なしでアドレスの変更が可能という仕様がおかしい。少なくとも確認が取れない場合は変更前に一定の待機期間を設けるべき。あとパスワードの定期的な変更は無意味どころか害悪。

[lainof]

この記事が本当か知らないけど、メールが使えない場合の復旧の話だと理解できてないコメントが多い。

[prograti]

これ本当なの？これが出来たらバックアップコードの意味なくない？ / "端末を紛失したユーザーが唯一覚えているパスワードで復旧できるようにするためです"

[ya--mada]

このレベルの既存システムが未熟で危険視するネタは、TikTok、Instagramなどのショート動画で多く出回っていそう。謎のセキュリティー啓発ネタ(フェイク)が流行りそうだな。コーラ膣洗浄みたいな

[Fluss_kawa]

そもそもどうやってメールアドレス変更するのか謎。メールアドレス変更画面に辿り着くまでに2FAを要求される。サービスごとにパスワード変えてアカウントのログインとメール受信同時にやられないようにね、が正しい。

[otihateten3510]

ChatGPT：「メール2FAは危険」は一部正しいが誇張ぎみ。多くのサービスは2FAや通知で防御しており、簡単に乗っ取られるわけではない。

[hylom]

メールアドレスへのアクセス権限を盗まれたら終わるからメールを使った2FAは駄目！という話かと思ったら違った

[bgioasfd]

2FAが設定されてるのにパスワードでメールアドレスを変更？どうやって？

[aiya000]

他の選択肢がある場合は2FAにメールアドレスを設定してないけど、2FA用メールアドレスとアカウントのメールアドレスって、必ず連動してるの？ https://zenn.dev/grandchildrice/articles/a007075c0ec99c

[peketamin]

JPKI使うとか