2 要素認証が最初に導入されたとき、デバイスのセキュリティに革命が起こり、個人情報の盗難がはるかに困難になりました。ただし、ログインに多少の不便が追加されました。
コンテンツ
- 二要素認証とは具体的に何ですか?
- それはかなり安全だと思われます。 どうしたの?
- 2 要素認証を使い続けたほうがよいでしょうか?
- 二要素認証をどのように改善できるでしょうか?
しかし、それは完璧ではなく、ハッキングやデータ盗難の問題をすべて解決したわけでもありません。 最近のニュースは、ハッカーがどのようにして 2 要素認証を回避し、それに対する私たちの信頼の一部を損なってきたのかについて、より詳しい背景を提供しています。
二要素認証とは具体的に何ですか?
2 要素認証は、デバイスとサービスのログイン プロセスにセキュリティ層を追加します。 以前は、ログインには単一の認証要素 (通常はパスワード、または指紋スキャンや Face ID などの生体認証ログイン) があり、場合によってはセキュリティの質問が追加されました。 これによりある程度のセキュリティは確保されましたが、特に弱いパスワードや自動入力されたパスワードの場合(またはログイン データベースがハッキングされ、その情報がダーク ウェブに表示され始めた場合)、完璧とは程遠いものでした。
関連している
- エントリーレベルの M2 Pro MacBook Pro を避けるべきだと言っている理由はここにあります
- TwitterのSMS二要素認証に問題が発生しています。 メソッドを切り替える方法は次のとおりです
- パスワードは難しく、人々は怠け者であることが新しいレポートで明らかになりました
2 要素認証は、2 番目の要素を追加することでこれらの問題に対処します。これは、本人であることとアクセス権限があることを保証するために人が行う必要のあるもう 1 つの要素です。 通常、これは、サービスからテキスト メッセージや電子メールを受信するなど、別のチャネル経由でコードが送信され、それを入力する必要があることを意味します。
時間に敏感なコード (TOTP、時間ベースのワンタイム パスワード) を使用するものや、特定のデバイスに関連付けられた固有のコード (HOTP、HMAC ベースのワンタイム パスワード) を使用するものもあります。 特定の商用バージョンでは、手元に用意する必要がある追加の物理キーを使用する場合もあります。
おすすめ動画
セキュリティ機能は非常に一般的になったため、おそらく「安全なコードを入力するための電子メールを送信しました。確認してください」というようなメッセージを見たことがあるでしょう。 まだ受信していない場合はスパムフィルターをご利用ください。」 これは新しいデバイスで最も一般的であり、少し時間はかかりますが、単一要素と比較してセキュリティが大幅に向上します。 方法。 しかし、いくつかの欠陥があります。
それはかなり安全だと思われます。 どうしたの?
サイバーセキュリティ会社ソフォスから最近発表されたレポートでは、驚くべき新しい方法について詳しく説明されています。 ハッカーは二要素認証を無視している: クッキー。 悪意のある者は「Cookie 窃取」を行っており、これにより事実上あらゆる種類のブラウザ、Web サービス、電子メール アカウント、さらにはファイルへのアクセスが可能になります。
サイバー犯罪者はどのようにしてこれらの Cookie を入手するのでしょうか? ソフォスは、Emotet ボットネットは、Google Chrome ブラウザ内のデータを標的とする Cookie を盗むマルウェアの 1 つであると指摘しています。 また、地下マーケットプレイスを通じて盗まれた Cookie を購入することもできます。これは、ログイン情報が Genesis と呼ばれるマーケットプレイスに流出した最近の EA 事件で有名になりました。 その結果、780 ギガバイトのデータが盗まれ、会社からの恐喝に使用されました。
これは注目を集めた事件ではありますが、その基礎となる手法はすでに存在しており、2 要素認証が特効薬には程遠いことを示しています。 単なる Cookie の盗用以外にも、長年にわたって特定されてきた問題が数多くあります。
- ハッカーが持っている場合 サービスのユーザー名またはパスワードを入手した、あなたのメールアドレス (特に同じパスワードを使用している場合) や電話番号にアクセスできる可能性があります。 これは、SMS/テキスト ベースの 2 要素認証の場合に特に問題になります。電話番号は簡単に見つけられ、(他のトリックの中でも特に) 電話をコピーしてテキスト コードを受信するために使用される可能性があるためです。 より多くの作業が必要ですが、決意を固めたハッカーにはまだ明確な進むべき道があります。
- Google Auth や Duo などの 2 要素認証用の個別のアプリははるかに安全ですが、導入率は非常に低くなります。 人々は、単一のサービスのセキュリティ目的のためだけに別のアプリをダウンロードしたくない傾向があります。 組織は、単純に「電子メールですか、それともテキストメッセージですか?」と尋ねるほうがはるかに簡単だと考えています。 顧客にダウンロードを要求するのではなく、 サードパーティのアプリ。 言い換えれば、最適なタイプの 2 要素認証が実際には使用されていないということです。
- 場合によっては、パスワードをリセットするのが簡単すぎる場合があります。 個人情報泥棒は、アカウントに関する十分な情報を収集して、カスタマー サービスに電話したり、新しいパスワードを要求する他の方法を見つけたりする可能性があります。 これにより、関連する 2 要素認証が回避されることが多く、機能すると、窃盗者がアカウントに直接アクセスできるようになります。
- 弱い形式の 2 要素認証では、国民国家に対する保護がほとんど提供されません。 政府は、SMS メッセージの監視、無線通信事業者の強制、または他の方法での認証コードの傍受など、2 要素認証に簡単に対抗できるツールを持っています。 これは、より全体主義的な政権からデータを秘密にしておく方法を求めている人にとっては良いニュースではありません。
- 多くのデータ盗難スキームは、人間をだますことに焦点を当て、二要素認証を完全にバイパスします。 ちょっと見てください 銀行を装ったすべてのフィッシング攻撃、政府機関、インターネットプロバイダーなどから重要なアカウント情報の提供を求められます。 これらのフィッシング メッセージは非常に現実的に見える可能性があり、次のような内容が含まれる場合があります。 認証コードが当社側にあるため、お客様がアカウント所有者であることも確認できます。」またはその他のトリック コードを取得します。
2 要素認証を使い続けたほうがよいでしょうか?
絶対。 実際、サービスとデバイスを調べて、利用可能な場合は 2 要素認証を有効にする必要があります。 これにより、個人情報の盗難などの問題に対して、単純なユーザー名とパスワードよりもはるかに優れたセキュリティが提供されます。
SMS ベースの 2 要素認証であっても、まったく認証しないよりははるかに優れています。 実際、米国国立標準技術研究所はかつて、二要素認証で SMS を使用しないよう推奨しました。 しかし翌年にはそれを巻き戻しました なぜなら、欠点はあっても、それでも持つ価値があったからです。
可能であれば、テキスト メッセージに関連しない認証方法を選択すると、セキュリティが強化されます。 また、パスワードを強力に保ち、 パスワードマネージャーを使用してパスワードを生成します 可能であればログイン用に。
二要素認証をどのように改善できるでしょうか?
SMS ベースの認証からの移行が現在の大きなプロジェクトです。 2 要素認証がいくつかの認証に移行する可能性があります。 Duo などのサードパーティ アプリ、プロセスに関連する弱点の多くが解消されます。 さらに、より多くの高リスク分野が MFA (多要素認証) に移行し、指紋や追加の秘密の質問などの 3 番目の要件が追加されます。
しかし、2 要素認証の問題を解決する最善の方法は、物理的なハードウェア ベースの側面を導入することです。 企業や政府機関はすでに、特定のアクセス レベルに対してそれを要求し始めています。 近い将来、私たち全員がカスタマイズした認証カードを財布に入れ、サービスにログインするときにデバイスをスワイプできるようになる可能性は十分にあります。 今では奇妙に聞こえるかもしれませんが、 サイバーセキュリティ攻撃の急増、最終的には最もエレガントなソリューションになる可能性があります。
編集者のおすすめ
- Nvidia RTX 4060 Ti だけでは 2023 年に不十分な理由
- ハッカーのランクが爆発的に増加 - 自分の身を守る方法は次のとおりです
- Google Chromeのシークレットモードが謳われているものではない理由
- Nvidia RTX 4090 は待つ価値がないと人々が言う理由はここにあります
- M2 ではなく M1 MacBook Air を購入するべきだと言われる理由はここにあります
ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。
