NISTが警告、SMSでの二段階認証が危険な理由

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「SMSでシークレットコードを送信するのはやめてください。安全ではありません」――。これは、米国立標準技術研究所（NIST）が2016年の夏前に発信したメッセージの内容ですが、この件についてさまざまな意見や疑問、戸惑いの声があがりました。この件に関する問題を整理してみたいと思います。 まず、事の経緯についてですが、NISTは「Digital Authentication Guideline」（デジタル認証ガイドライン）の草案を公開し、一般からの意見を募集しました。このガイドラインの最終版は2017年9月に発行の予定です。 ガイドラインの「Section 5.1.3.2」では「Out-of-Band verifiers」（帯域外検証者）に

[mkusunok]

これ前から気になってるんだけど、日本の携帯キャリアでも同じように危険なんですかね

[dorje2009]

電話番号だけでFacebookアカウントを乗っ取るデモが去年話題になっててSS7の脆弱性が使われていた https://the01.jp/p0002625/ wikipediaではSS7ベースでも国により微妙に規格が違うとある。日本のキャリアではどうなんだろう？

[n181DzTD]

かといって各サービスでワンタイムパス発行アプリ乱立されても困るのよね。今でさえ多すぎてめんどいのに

[ot2sy39]

Googleの二段階認証を通話用ガラケーへの音声電話にしている。こっちがしゃべる必要はないので静かな場所でも受けられるし悪くないよ。スマホで使えるサービスをスマホへの通知で認証するのは気にいらない。

[sho]

そもそもSMSを読み取れるアプリを作れるんだから、うまく騙して承認させちゃえば抜き放題だしな。

[sisya]

これは確かに思っていた。スマートフォンに限らず、今後セキュリティコードや認証などを行うシーンは増加する一方なのだから、専用の通知プロトコルを作るなどしてはどうかとも思う。

[chinpokomon_master]

プランBが無いって言ってる馬鹿がいるんだけどNISTを何だと思ってるんだ。

[shodai]

日本の通信キャリアでも起こり得るのかな？後半のロック中の端末に出るというのは、世界共通なんだろうけど。

[Miyakey]

ロック画面に出ちゃってるしね。QT:NISTが警告、SMSでの二段階認証が危険な理由

[metroq]

“「SMSを使用したOOBは非推奨であり、今後禁止になる場合がある」”

[natroun]

と思ったらそもそも二段階認証にSMS使っちゃだめーとは前々から言われてるらしい。ぐぬぬ。利用者側としては、他の選択肢があるならそちらを選んだ方がいいということみたい。

[tanupig]

“SS7の脆弱性によって、SMSメッセージのインターセプトは私たちが考えているよりもずっと容易になっています。”

[taqpan]

去年1月に出てた

[mickn]

"SMSメッセージのインターセプトは私たちが考えているよりもずっと容易"

[mikurins]

クローン携帯があるとかないとか？国際SMSとか一体どこ経由？と難しく考えてたらスマホのロック画面に表示されるのを覗き見るハックか…

[kabukawa]

SMSが危険なのは分かったけど、代わりの方法がよく分からなかった。

[fn7]

なるほろ

[sawarabi0130]

“SMSでの二段階認証が危険な理由”

[napsucks]

TOTP最強か。ただTOTPは元の秘密鍵を受け取る時点で端末が安全である前提が必要なんだよな。

[tettekete37564]

イマイチ掴めない。OOBによるベリファイが盗聴されて問題になるケースはすでにID・パスワードクラックが成功している場合に限られるのでは？

[y-kawaz]

SMSどころか生メールで送ってくるとこも多いよな…。銀行系とかも全部TOTPになればいいのに、そうしたらアプリも増えないし危険な通信もしないし、ユーザ側でのバックアップも出来るし、管理もしやすくなるのに。

[georgew]

結局どーすればよいのか。そんなん言われても、っていう感想しか思い浮かばず。

[auient]

SS7とは。 / https://ja.m.wikipedia.org/wiki/共通線信号No.7

[endo_5501]

“大量のSMSメッセージのリダイレクトやインターセプトの成功例が増えている”

[yasudayasu]

「SMSでシークレットコードを送信するのはやめてください。安全ではありません」。米国立標準技術研究所が発信したメッセージ。例えば、銀行が本人確認のため別のチャネルを通じてユーザーにシークレットコードを送信

[itochan]

よくよんでないからよくわからない。　SMSって経路が安全だとして暗号化してない、のが日本だけど、海外だとインターネットから送信できるもんね、途中で見られても不思議ない感じ。　Docomo否定のクローン携帯問題とか

[mawhata]

よく分からんが音声通話で知らせてくれるヤツなら安全なんだろうか？

[kamei_rio]

"帯域外（OOB）デバイスは、一意にアドレス可能でなければならず、二次チャネルを通じた通信はプライベートでなければなりません"

[Panthera_uncia]

言われてみれば確かに

[T-miura]

たるいが、音声通知にするか、、。オーソリケータ面倒なんだよな、、、鍵増えてくると。紛失、乗り換え時も面倒だし、、、

[shibacow]

これって、国民全員が銀行みたいにハードウェアトークン使えってことかしら。 http://www.resonabank.co.jp/direct/otp/hard.html デバイスに紐づくと今度は乗換やら紛失時のダメージが大きいような。

[tsz]

SS7なー。

[hiroomi]

"使用するキーは、当該デバイスで利用できる最も安全なストレージに格納しなければなりません。"

[key_amb]

既視感があるような

[progrhyme]

既視感があるような