2段階認証について

前提

・サービス開始早々、セブンPayの不正利用が相次いだ

・謝罪?会見で、セブンの社長は2段階認証を知らないことが発覚した

・知っとかないとマズイと思い、把握しようと思った

概要

1.(利用者)認証を2回(2段階)行う手法のこと

2.よくあるのは「パスワード認証」と「メール認証、またはSMS(電話番号)認証」の2回

3.パスワードは本人しか知らないため、入力されたパスワードがサーバ側に登録済みのものと同一
  だったならば、本人であると証明できる
  ※パスワードが漏えいしている場合を除く

4.受信メール(SMS)は本人しか見ることができないため、受信メールに記載されている
  パスコードがサーバ側で登録済みのものと同一だったならば、本人であると証明できる
  ※メールのログインパスワードが漏えい、またはパスコードが記載されているメールを盗聴
   された場合を除く

5.認証は1回よりも2回の方が、アカウント乗っ取り等の被害に遭いづらい
  手間が掛かる方が被害に遭いずらいが、利便性は下がる
  ただ手間が掛かっていても、遭うときは遭う

6.以下が漏えい等していた場合、2段階認証をしていても意味が無い
 └ 当該サイト(アプリ)のログインIDとログインパスワード
 └メールのログインIDとログインパスワード
 └電話(スマホ)の盗難(メールを見られてしまう)
 └生年月日
  ※「ログインID = メールアドレス」の場合が多いため、そもそもログインIDはそれなりに
  公開されているものだったりする。
  またWordPressの場合、デフォルトだと記事ページに管理画面のログインIDが表示されて
  おり危険。

7.中間者攻撃をされた場合、2段階認証をしていても意味が無い

セブンPayの問題点

1.利用登録時?に2段階認証をしていなかった

2.利用登録時に生年月日を登録しなかった場合、「2019/1/1」で登録される

3.パスワード変更に必要なのは電話番号と生年月日。
  利用者は生年月日を登録しない場合が多い(=2019/1/1で登録される場合が多い)
  よって電話番号のみでパスワード変更が可能な利用者が多くなってしまった
  ※電話番号はそれなりに公開されているもの。パスワードとは違う。

4.パスワード変更画面のURLを記載したメールの送付先メールアドレスを、
  パスワード変更依頼時に指定できた(攻撃者のメールアドレスへ送付できた)
  ※普通は利用登録時に登録されたメールアドレスへ送付する

タイトルとURLをコピーしました