Amazon の 2段階認証 突破の噂についての仮説 と 2段階認証で意識すること【2FA/2SV/MFA】 - Qiita

Amazon の 2段階認証(2SV)が突破された？ Amazon の 2段階認証(2SV) が突破されたのではないかという件が話題になっています。 私もこれについてはとても気になっており、できるだけ早く真相が解明されることを願っています。 そこで、ふと疑問に感じたことが、2SV は何をどの程度防いでくれるのかということです。 ここでは、Amazon を例に、いろんなことを考えていきたいと思います。 フィッシングの前には無力 まず、2SVの突破と言っても様々な手口があります。 徳丸先生の動画が示す通り、中継型フィッシングであれば、自ら正しい認証情報を入力することになるので、2SVを設定していようがいまいが突破されてしまいます。 フィッシングではなく、かつ、TOTPでも突破されたケースも 今回の被害者には、中間者攻撃やフィッシングを受ける状態になかったと仰っている方がいました。 なので、何か

[megumin1]

99%「フィッシングでした」というオチだと思いますよ。 私だって「過去に一度もフィッシングにかかっていない」と断言はとてもできないのに、何故か断言している被害者が多いのでそういう人たちなんだと思っています

[MzdA0w73tg]

まず1段階目のパス漏れてることが大問題じゃないのかな。使いまわししないとか桁数を増やすとか基礎的な部分の方が重要な気が。amazonのパスは128文字まで設定できるらしい。100桁に変更しておいた。

[teraco]

バカにされてるPPAPでもパスワードを11桁以上にすれば現実的な時間で総当り突破されないので、単純にパスワードを長くするという対策は有効

[ton-boo]

パスワード定期変更はサービス提供側が強制するとデメリットが大きいという話であってユーザが自発的にきちんとやる（サイトごとに違う十分に複雑なパスワードを毎回設定）のは意味はある。面倒だからやらないけど

[Sakana_Sakana]

PPAPが非難されるのは暗号化Zip圧縮で送った同じ経路でテキストでパスワードを送るので経路で盗み見されていればパスワードの意味が無い。桁数増やしても無駄と言う意味で非難されている。

[peatnnuts]

管理が雑な人のpwが漏れて、なおかつ誤って2fa通しちゃったパターンなんだと思ってた。

[uunfo]

数打ちゃ当たる方式だろうなとは思う

[ka-ka_xyz]

本当にフィッシングでは無かったのかは気になるとこ（前にあった、googleのスポンサー表示での表示URLと実際に飛ぶ先のドメイン名が違う話あたりの、SMSやメールと違う経路のやつ https://twitter.com/ka_ka_xyz/status/1699930274732367997

[deep_one]

「パスワードの定期変更を要求しない」のは「大衆はパスワードの定期変更に耐えることができないのでもう諦めた」だけなのだ…／パスワード管理アプリを使うなら定期変更でいいんじゃないか、そういえば。

[tattyu]

MFAの6桁ってアンセキュアだよなぁとは思ってる。100万人に試行したら1人は通る計算だもんな。

[kamm]

うーん

[NOV1975]

フィッシングかかってないって言ってる人が、Amazonのアカウントだけ完全に別のID/パスワード体系になっている、他のサイトで流出してない、の両方YESであるかは気になる。

[ockeghem]

私の動画も紹介頂きありがとうございます。原因不明ですが、1段回目のパスワードを突破されなければ大丈夫なので、この機会にパスワードをより安全なものにするのは有効ですよね

[igrep]

要するにパスワードスプレーのワンタイムパスワード版みたいなやり方なんでしょうかね。必ず6桁の数字なワケだし、たくさんIPとってやれば案外できそう

[rryu]

TOTPは4桁しかないからブルートフォースできなくもないのか。

[secseek]

そもそもパスワードが認証として弱すぎるということに尽きるのではないかと思います

[dorapon2000]

"一方で、Google Authenticator などの TOTP 認証アプリケーション を利用している場合、サービス の仕様によっては、認証の失敗を通知されず、利用者は 不正なログインの試行 に気づきにくくなります"

[napsucks]

ここ半年amazon用のメールアドレスにamazonを騙ったフィッシングメールが来るのよね。これに気づかず踏んでしまった人が多いんじゃないかと思う。漏洩した時点でID（メールアドレス）は変えたほうがいい。

[mohno]

「パスワードの定期変更…リテラシーが高い人(パスワードを単純化させない、他のサービスと共通のパスワードを使ってはいけないことを理解している人)については、作業が面倒だという点以外にはデメリットはない」

[binary343]

パスワードの定期変更でしか防げない攻撃って具体的にどういうものを想定してるの？

[satomi_hanten]

10回もリトライ出来るのはマズく無いか？時間解除出来るならもっときつくて良いでしょ

[JULY]

試行回数に対する成功確率の計算が間違ってない？ まぁ、それはともかく、流出しているパスワードを使って OTP のステップにたどり着くのは、使い回しの問題でしょう。あと定期変更の話は優先順位の話なんだけどなぁ。

[sub_kujira]

「Amazon ログイン」の検索結果からたどった（多分偽の）ログイン画面でIDとpassを入力してしまったことがあった。入力に間違いはないのにログインできず。すぐpassを変えた。

[Magicant]

パスワード認証が突破されて TOTP だけが頼みの綱になった時に被害者が気付けないのは危険といふ指摘

[ghostbass]

TOTPって何万回試行したら当たるとかいう仕組みなの？

[raebchen]

SMSやAuthenticatorが作動する段階てことはPW自体は既に漏れてるってコトで、この時点で気づけんと、SMSやAuthenticatorの試行限度回数やられて、運が悪いと突破されるってコトだよな？😨 だからPWの定期変更にも利点はあると😳

[fashi]

ワンタイムパスワードの話だったのにロックされるまで無限に試行できるみたいな書き方はどうなんだろう。汎用認証アプリ使ってて独自の認証システムでもないし突破すべきシード値は6桁どころじゃないだろう

[ya--mada]

なんとかの何とか、休むに似たり？

[zkq]

フィッシングしかないと思うが、なぜ本人がそうでないと信じているか謎。夜中なのはバレにくいか海外からだからでしょ

[deeric]

とりあえずパスワードを変えておこうと思った。↓のコメントでパスワード変える意味がないってコメントあったけど、逆だなんだね。 https://b.hatena.ne.jp/entry?url=https%3A%2F%2Fsbapp.net%2Fappnews%2Fan%2F2dannkaininnsyoutoppa-148074