二要素認証は、セキュリティ対策として人気が高まっています。たとえば、Google、Facebook、Twitter、およびその他の多くのサービスには、今日、多くの銀行や信用組合だけでなく、2段階のセキュリティオプションがあります。
GVアカウントがハッキングされる可能性があるため、物理デバイスの所有を確認するためにテキストメッセージコードを受信する、いわゆる物理デバイスとしてGoogle Voice電話番号を使用することは間違いであるかと思います。効果的に盗まれていますか?
スマートフォンにアプリケーションを置いて本人確認を行う2要素のGoogle認証を使用している場合、Googleが安全だとすれば、GVを他人に安全に使用できますか?
いくつかの可能な2要素のオプションと可能な攻撃の形式を見てみましょう。
要約すると、GVは、取りたいリスクのレベルに応じて、「大きな間違い」であるかどうかはわかりません。プッシュまたはコード生成がおそらく最も安全ですが、それぞれに独自の攻撃ベクトルがあります。マルウェアが発生する可能性は非常に低いですが、不可能ではありません(Push以外はすべて脆弱です)。デバイスが盗まれ、意欲的な攻撃者がアカウントを乗っ取ろうとすることもほとんどありませんが、可能です。しかし、すべての方法は、デバイスが盗まれるのに対して脆弱です。 GVは、盗まれたGVデバイスが攻撃に対して脆弱になる可能性があるため、追加のリスクを追加します。しかし、GVはさらに便利です。複数のデバイスにプッシュすることができます。携帯電話を入手する必要はありません。ラップトップにポップアップ表示され、入力するだけです。余分なリスクに見合う価値がありますか? (おそらく、1年でデバイスが盗まれる可能性は2%(どの方法でも当てはまりますが、GVではさらに盗まれる可能性のある他のデバイスがあるためです)であり、5%の確率で攻撃者がハイジャックする動機を持っている可能性がありますそれはあなたの絶対的なリスクです、それは価値がありますか?それはあなた次第です。
ただし、GVを使用する場合のヒントは次のとおりです。
(他の攻撃ベクトルを考えたり、修正を加えたり、教えてください。リストに追加します。)
これに関する主な問題は、誰かがあなたのコンピューターにマルウェア(キーロガーなど)を持っている場合に、あなたのGoogle Voiceパスワードと通常のアカウントパスワードを取得できることです。その後、2要素認証を通過できます。ただし、常に別のシステムからGoogle Voiceにアクセスする場合でも、技術的には2つの要素になります。
これまでの回答で無視されていた使用例の1つは、常に物理的な電話を自分の人につけ続けることができない人向けです。たとえば、携帯電話の使用が許可されていない場合、2要素認証のソースとしてGoogle Voiceを使用することは、2要素認証をまったく使用しないことに対する大きな一歩であると私は主張します。いいえ、完璧ではありません。リスクの影響を受けやすくなりますが、そのリスクは、サービスをパスワード認証のみとして残した場合よりもはるかにリスクが低くなります。
私は常識を使うように言っていると思います。どこかでログインする必要があるたびにスマートフォンを手元に置いておくことができる場合は、危険であるためGoogle Voiceを使用しないでください。ただし、2番目の認証デバイスに常にアクセスできない場合は、その認証をGoogleにしてください。単一の認証ソースよりも優れたセキュリティを提供する音声。
Googleアカウントへのアクセスを制限し、Google Voiceにアクセスする前にそれにアクセスするための多要素認証を実装した場合、不正アクセスのしきい値が増加し、安全に使用できます。ただし、多くの場合、ユーザーはPINやその他の物理デバイスを使用せず、もちろん物理的になくすこともできません。
電話番号が不正使用された場合も、Google Voiceを使用して簡単に変更できます。
はい、それは間違いです。アカウントをより安全にしましたが、2番目の要素はありませんでした。
識別には3つの要素があります:知っているもの、あなたが何か、持っているもの。
この場合、あなたが持っているものは、あなただけが(理論的には)アクセスできる物理的なデバイス(あなたの携帯電話)であると考えられます。
Google VoiceはSMS=トラフィックを許可しますが、コンピュータ、インターネット接続、および資格情報を使用してSMSにアクセスすることも許可するため、この要素を大幅に減少させました。2の代わりに-factor、実際には1つの要素、つまり2つのパスワードがあり、サイトのパスワードとGoogle Voiceアカウントのパスワードです。これは2要素の認証ではありません。
「パスワードを忘れた」リンクをクリックし、リセットリンクをGoogleアカウント(Google音声へのアクセスに使用するのと同じアカウント)に送信するのと同じです。