web-dev-qa-db-ja.com

2要素認証にGoogle Voice番号を使用することは大きな間違いですか?

二要素認証は、セキュリティ対策として人気が高まっています。たとえば、Google、Facebook、Twitter、およびその他の多くのサービスには、今日、多くの銀行や信用組合だけでなく、2段階のセキュリティオプションがあります。

GVアカウントがハッキングされる可能性があるため、物理デバイスの所有を確認するためにテキストメッセージコードを受信する、いわゆる物理デバイスとしてGoogle Voice電話番号を使用することは間違いであるかと思います。効果的に盗まれていますか?

スマートフォンにアプリケーションを置いて本人確認を行う2要素のGoogle認証を使用している場合、Googleが安全だとすれば、GVを他人に安全に使用できますか?

authenticationphysicaldesign-flaw
4
WilliamKF

いくつかの可能な2要素のオプションと可能な攻撃の形式を見てみましょう。

  • Google音声以外のSMS
    • 誰かがあなたの電話を盗んで、錠をすり抜けることができる場合:
      • スマートフォンをデバイスとして完全にアクセスできるデバイスとしてすでに信頼しているサービス
      • 彼らはあなたの電子メールにアクセスでき、信頼できるアカウントをハイジャックして、電子メール経由でアカウントのパスワードをリセットすることができます(ただし、サービスによっては2faで節約できる場合があります)。
      • パスワードを知らない限り、デバイスを信頼しないアカウントにはアクセスできません
    • ソーシャルエンジニアリング攻撃により、SIMスワップを試みることができますが、サイトにアクセスするにはパスワードが必要になります
    • 2FAデバイスまたはアクセスデバイス上のマルウェア。
  • GoogleボイスSMS /電話
    • 彼らがあなたのデバイスを盗んでロックを通り越した場合:
      • 上記と同じ
    • グーグルボイスがインストールされている他のデバイスを盗み、パスワード保護を回避し(Linux、Windows、Macではこれが可能であることが多い)、パスワードを持っているか、サービス付きの信頼できるデバイスである場合、アカウントへのフルアクセスを取得する可能性があります。
    • 2FAデバイスまたはアクセスデバイス上のマルウェア。
    • サイトの「パスワードのリセットリンク」にアクセスした場合:
      • 彼らがあなたのメールパスワードをフィッシングしていて、あなたのメールに2faがなく、同じアカウント(または2つの異なるgoogleアカウントで同じパス)にGVとメールがある場合、アランはこれが本質的に2faではないことは正確です。メールに2faがある場合でも、2faのままです。彼らはあなたのグーグルパスワードをフィッシングすることができます、そしてそれを彼らが持っているとき彼らはどんなウェブサイトに行って「パスワードを忘れた」を選択することができます、しかし彼らは彼らが2番目の「あなたが持っているもの」、すなわち個別を持っていないので助けにはなりません以下を参照)2faのGVアカウント。 gmailパスは、ユーザーがサイトにアクセスするのに役立ちません。ただし、2faが有効になっているのと同じGmailアカウントでGVを使用することはできません(以下を参照)。そのため、アカウントごとに異なるパスワードを使用している限り、通常は2faになります。
    • (あなたは自分自身をロックアウトできます:2FAを受信するために同じGOOGLEアカウントを2つのGOOGLE音声に使用しないでください。2FAから送信されるアカウント)
  • Duo のような「プッシュ」認証
    • デバイスを盗んだ場合:
      • デバイスのパスワードをバイパスできる場合は、2faを直接使用できます。
    • プッシュサービスがインストールされている他のデバイスを盗んだ場合
  • コードジェネレーター:
    • デバイスを盗んだ場合:
      • デバイスのパスワードをバイパスできる場合は、2faに直接アクセスできます。
    • 2FAデバイスまたはアクセスデバイス上のマルウェア。

要約すると、GVは、取りたいリスクのレベルに応じて、「大きな間違い」であるかどうかはわかりません。プッシュまたはコード生成がおそらく最も安全ですが、それぞれに独自の攻撃ベクトルがあります。マルウェアが発生する可能性は非常に低いですが、不可能ではありません(Push以外はすべて脆弱です)。デバイスが盗まれ、意欲的な攻撃者がアカウントを乗っ取ろうとすることもほとんどありませんが、可能です。しかし、すべての方法は、デバイスが盗まれるのに対して脆弱です。 GVは、盗まれたGVデバイスが攻撃に対して脆弱になる可能性があるため、追加のリスクを追加します。しかし、GVはさらに便利です。複数のデバイスにプッシュすることができます。携帯電話を入手する必要はありません。ラップトップにポップアップ表示され、入力するだけです。余分なリスクに見合う価値がありますか? (おそらく、1年でデバイスが盗まれる可能性は2%(どの方法でも当てはまりますが、GVではさらに盗まれる可能性のある他のデバイスがあるためです)であり、5%の確率で攻撃者がハイジャックする動機を持っている可能性がありますそれはあなたの絶対的なリスクです、それは価値がありますか?それはあなた次第です。

ただし、GVを使用する場合のヒントは次のとおりです。

  • GVとして同じアカウントのGoogleアカウントで2FAを使用しないでください。
  • すべてのデバイスが強力なパスワードでパスワード/ピン保護されていることを確認してください
  • デバイスの盗難に気づいたらすぐに、すべての重要なアカウントのパスワードと2faメソッドをすぐに変更してください
  • すべてのメールアカウントで2faをオンにします(ただし、最初のポイントを参照してください)。履歴とパスワードのリセット機能により、メールはハッカーにとって貴重な宝庫です。

(他の攻撃ベクトルを考えたり、修正を加えたり、教えてください。リストに追加します。)

3
Joe

これに関する主な問題は、誰かがあなたのコンピューターにマルウェア(キーロガーなど)を持っている場合に、あなたのGoogle Voiceパスワードと通常のアカウントパスワードを取得できることです。その後、2要素認証を通過できます。ただし、常に別のシステムからGoogle Voiceにアクセスする場合でも、技術的には2つの要素になります。

4
AJ Henderson

これまでの回答で無視されていた使用例の1つは、常に物理的な電話を自分の人につけ続けることができない人向けです。たとえば、携帯電話の使用が許可されていない場合、2要素認証のソースとしてGoogle Voiceを使用することは、2要素認証をまったく使用しないことに対する大きな一歩であると私は主張します。いいえ、完璧ではありません。リスクの影響を受けやすくなりますが、そのリスクは、サービスをパスワード認証のみとして残した場合よりもはるかにリスクが低くなります。

私は常識を使うように言っていると思います。どこかでログインする必要があるたびにスマートフォンを手元に置いておくことができる場合は、危険であるためGoogle Voiceを使用しないでください。ただし、2番目の認証デバイスに常にアクセスできない場合は、その認証をGoogleにしてください。単一の認証ソースよりも優れたセキュリティを提供する音声。

0
stevenhaddox

Googleアカウントへのアクセスを制限し、Google Voiceにアクセスする前にそれにアクセスするための多要素認証を実装した場合、不正アクセスのしきい値が増加し、安全に使用できます。ただし、多くの場合、ユーザーはPINやその他の物理デバイスを使用せず、もちろん物理的になくすこともできません。

電話番号が不正使用された場合も、Google Voiceを使用して簡単に変更できます。

0
Malcolm Devron

はい、それは間違いです。アカウントをより安全にしましたが、2番目の要素はありませんでした。

識別には3つの要素があります:知っているもの、あなたが何か、持っているもの。

この場合、あなたが持っているものは、あなただけが(理論的には)アクセスできる物理的なデバイス(あなたの携帯電話)であると考えられます。

Google VoiceはSMS=トラフィックを許可しますが、コンピュータ、インターネット接続、および資格情報を使用してSMSにアクセスすることも許可するため、この要素を大幅に減少させました。2の代わりに-factor、実際には1つの要素、つまり2つのパスワードがあり、サイトのパスワードとGoogle Voiceアカウントのパスワードです。これは2要素の認証ではありません。

「パスワードを忘れた」リンクをクリックし、リセットリンクをGoogleアカウント(Google音声へのアクセスに使用するのと同じアカウント)に送信するのと同じです。

0
Alan