パスワードを忘れた? アカウント作成
14103398 story
インターネット

Apple、SMS経由での認証コードの標準化を提案、入力自動化が目的 33

ストーリー by hylom
悪用される恐れはどうなのだろうか 部門より

Anonymous Coward曰く、

Appleが、SMSを使ったワンタイムパスコード認証のフォーマットを標準化したい意向を示しているという(ZDNetAppleInsiderSlashdot)。

昨今ではSMS経由で認証に使用するパスコードを送信する二要素認証を採用するサービスが増えている。認証時にサービス側があらかじめ登録しておいた電話番号にパスコードが記載されたSMSを送信し、利用者はそのパスコードをサービス側で入力することで認証が行われる。Appleはこの送信されるSMSのフォーマットをそろえることで、端末がSMSを受信した際に自動的にパスコードの入力を行えるようにする仕組みを構築できると主張している。

具体的なフォーマットとしては、次のようにSMSメッセージにパスコードとともに発信元URLを記述する、という形が考えられているようだ。

747723は[サイト名]認証コードです。
@ website.com#747723

メッセージの1行目は、着信メッセージを説明するための人間が読めるテキストで、2行目はプログラムがパスコードとそれを使用するサービスを識別するための文字列で、この場合は「747723」と「website.com」がそれに当たる。AppleとGoogleはこの提案に同意しているが、Mozillaはこの標準化に関する公式声明は出していない模様。

  • by Anonymous Coward on 2020年02月04日 16時09分 (#3755922)

    ので反対ですね。
    むしろそこでワンクッション置かないと。

    ここに返信
    • 自動化=悪用者の付け入る隙がなくなるので賛成です。

      SMS認証の自動化はフィッシング詐欺のリスクを大きく低減するものです。一般的に、自動化による悪用リスクが手動入力の悪用リスクを上回ることはありません。

      同様に認証情報の自動送信を行うことのできるパスワードマネージャの例で考えると、ドメイン譲渡やドメイン名ハイジャックによりドメイン管理者が入れ替わっているのに認証情報を自動送信してしまい不正ログインに悪用されるケースが考えられますが、ワンクッション置いたり手動入力にしたところで防げるとは考えにくいです。

    • by Anonymous Coward

      アプリ毎に対応が違う前提ならば、何かあった時に自社だけでさっさとやり方変化させられるからね。
      共通化して問題意識の共有からやらないといけないってよりは、悪用対策も可能になる可能性は高いよね。

    • by Anonymous Coward

      具体的にどんな悪用が考えられます?

      悪用者がログインして、悪用者にSMSが行った時点でアウトな気が。
      通常ユーザーが認証コードを受け取っても無視すればいいし、SMS届いた時点で強制的に認証画面に飛んで入力するわけじゃないでしょうし。

      • by Anonymous Coward
        > SMS届いた時点で強制的に認証画面に飛んで入力するわけじゃないでしょうし。

        ZDNetの記事には
        > Apps and browsers will automatically extract the OTP code and complete the 2FA login operation.
        ってあるから、その通りなら端末が受信した時点で自動的に抽出してログインさせちゃうって事なんじゃないかと。
        • アプリやブラウザが該当のURLを認識して今まさにそこで認証中だったら、だと思うけどなさすがに(根拠なし

          こないだこんな感じに動いた(SMS中のコードが勝手にブラウザに入った)ような気がしたけど気のせいだったんかな
          Googleの何か+Chromeだともうやってるのかも

          • by Anonymous Coward

            androidの一部アプリでのSMS認証がそんな感じの動きしますね。
            そのためだけに使うと言われてもアプリにSMS権限ほいほい渡したく無いのですが

            • アプリにSMS権限ほいほい渡すのは問題だということで今年になって審査が厳格化されてます。

              2019年3月、GoogleはAndroidアプリにおけるSMSと通話ログへのアクセス許可情報(パーミッション)の使用を制限 [google.com]しました。これにより、認証情報を盗むアプリは、これらのアクセス許可を悪用してSMSベースの2要素認証(2FA)メカニズムを迂回できなくなりました。

              https://www.eset.com/jp/blog/welivesecurity/malware-google-permissions... [eset.com]

              このような方法に代わり、SMS認証フォーマットが標準化されれば、SMSクライアントアプリからインテントを通じて他アプリに認証コードを引き渡すことで、安全かつ自動でのSMS認証が出来るはずです。

              • by Anonymous Coward

                他アプリ用の認証情報インテントを盗み見るとか出てきそうかな?
                メッセージ中のUrlは直接認証ページのものではないほうが良さそうやね
                と言うかurlじゃなくてそのソルト付きハッシュとかじゃないと安心できないか?
                頭のいい人が考えてくれるやろうけども

              • by Anonymous Coward

                認証するドメインにapple-app-site-associationだのmanifest.jonだのファイル置いておいて、そこに記載されているIdentifierのアプリのみ見れるようにすれば読み取れないですね。というのを既にパスワードの自動入力でやっているので。

          • by Anonymous Coward

            iOSでもinput要素にautocomplete="one-time-code"を付けておけば自動で入力されるようです。

            https://www.google.com/search?q=autocomplete%3D%22one-time-code%22&... [google.com]

        • by Anonymous Coward

          アプリまたはブラウザでコード入力画面になってることが前提でしょうね。いきなりコードが送られてきた場合にまでログインさせるんだったら2要素の意味ないし。

          現状のiOSのSafariでもログインしてコード入力画面で待ってる時にOTPコード飛んできたら、1タップで入力するための表示が出てきますね。フォーマットが違うとこれを出せない場合があるから統一しない?ってことじゃないかと。

          • by Anonymous Coward

            でも考えてみたら、全世界的に統一されて居れば一斉に行うだけで一定数は引っかかる人間が出て来る訳だよな。
            個人の印象だと「そんなの偶にしか」だけど、母数がデカいとシャレにならんかも。

            • by Anonymous Coward

              全世界的に統一されて居なければ更に多くの人間が引っかかり続けてしまうけどいいの?

              • by Anonymous Coward

                いいよ。俺が許可する

              • by Anonymous Coward

                神奈川県警さんコイツです!

    • by Anonymous Coward

      Excelの集計結果を確認するために電卓で検算するとか、定期的なパスワードの変更のようなものですね。
      それによって安全が確保されるわけではないけど、使用者の「納得」「安心感」が目的のワンクッション。

      • by Anonymous Coward

        > Excelの集計結果を確認するために電卓で検算するとか、定期的なパスワードの変更のようなものですね。

        どちらもバッド・ノウハウですね

        • by Anonymous Coward

          「認証コード入力は手動でなければ」というのもそれらと同類という意味なんですが

    • by Anonymous Coward

      真っ先にそう思った。
      ということはGoogleもAppleもそう思ってるはず。

      しかしセキュリティなんか気にしない層の「入力が面倒」という声が、よほど大きかったのではないだろうか。
      利益優先の営利企業の判断としては、その声を受けて自動化するというのも十分ありうる。俺でもそうする。

      • by Anonymous Coward

        >セキュリティなんか気にしない層
        この場合は「うるせえ黙れ」でいいと思うんだけどなあ

      • by Anonymous Coward

        今の時点で、iPhone/iPadで認証パスワードやワンタイムパスワードをSMSで受信したら、アプリによってはメッセージから自動入力してくれるじゃないか。これは別なの?

        • by Anonymous Coward

          SMSのフォーマットが統一されていないせいでできない時がある。ので今回の提案。

  • by Anonymous Coward on 2020年02月04日 17時13分 (#3755975)
    念のため開いてみたんだけど、何もしてないのにハッキングされたんだよねー。
    ここに返信
  • もしくは他人にスマホ盗まれた時のリスクが増大。
    受信した時点で自動的だったらワンパスの意味がない。

    安易なpass=123456>突破>SNS認証>自動突破>乗っ取り成功

    #ろくでもないパスコードはまだまだ健在だからね

    ここに返信
    • by Anonymous Coward

      >受信した時点で自動的だったらワンパスの意味がない。

      んなわけない。
      ワンタイムパスコードの何が安全を担保する要素なのか理解してる?
      通信経路が別ってことなのよ。

      • by Anonymous Coward

        想定しているケースが、すべてのセキュリティが無意味になっている状態だからね。
        あとワンタイムパスコードの安全性は使い捨てなところであって別経路である必要は無い。

    • by Anonymous Coward

      ウイルスなり泥棒がワンタイムパスワードを入力するだけで、増大といっても誤差の範囲だろ

  • by Anonymous Coward on 2020年02月05日 0時19分 (#3756283)

    このフォーマットのSMSは設定に関わらず、ロック画面で本文を表示しないようにして欲しいところです。
    誰でもコードが見られると二要素認証の意味がないですから。
    かと言って常に本文表示なしはそれはそれで不便ですし。

    ここに返信
    • Re:着信通知 (スコア:3, 興味深い)

      by Anonymous Coward on 2020年02月05日 1時02分 (#3756293)

      モバイル端末から配信中だったYoutuberが通知を切っていなかったために、
      Twitterのパスワードリセットコードを知られてしまい乗っ取られたなんてことも聞きますね

  • by Anonymous Coward on 2020年02月05日 9時21分 (#3756434)

    別に入力を自動化するため標準化ってのは悪かないけど、せっかくなら暗号化・署名でも…みたいなこと思ったけど署名とかする意味がないな。

    • 人間様が読む部分は残さないと互換性の問題が出る。
    • メッセージ発信元は何者でも別に問題はない。
    • 認証コード自体が推測困難。

    うーん。
    でもせっかく統一するなら何かしらもうちょっと頭の良いことできないかな?
    文字制限あるんだし圧縮機能とか?
    微妙だなぁ。

    ここに返信
  • by Anonymous Coward on 2020年02月05日 11時47分 (#3756561)

    SMS認証を強制するのやめてほしい
    電話が近くにないときにログインできなくなるじゃん

    ここに返信
    • by Anonymous Coward

      だよなあ
      とりあえずFAXで送っといてくれ

typodupeerror

人生unstable -- あるハッカー

読み込み中...