web-dev-qa-db-ja.com

Gmailの2要素認証はスマートフォンのセキュリティを強化しますか?

そこで、Gmailで2要素認証を有効にしました。つまり、新しいマシンにログインすると、トークンが携帯電話に送信されます。

さて、携帯電話からGmailにアクセスすると、1つの要素しか残っていないようです。私の電話。

携帯電話からGmailにアクセスする最も安全な方法は何ですか。

スマートフォンが盗まれた場合、パスワードを取り消すことができ、攻撃者はトークンしか持っていないので、アプリ固有のパスワードを使用する方法を考えています。

authenticationattack-preventiongoogle
10
Pepijn

あなたは少し痛い点にぶつかりました。 something-you-haveタイプの資格情報としてスマートデバイスを使用すると、いくつかの欠点があります。

ご指摘のとおり、スマートデバイスは、第2要素の資格情報であることに加えて、認証プロセスでアクティブな役割を果たすことがよくあります。これは最初に思われるほどの問題ではありません。スマートデバイスをsomething-you-haveとして使用する目的は、攻撃者が両方のデバイスを盗む必要があることですおよび同時に =アカウントにアクセスするためにパスワードにアクセスできます。これは、デバイスが認証の両方の部分を実行している場合でも当てはまりますが、特にデバイスにパスワードを保存している場合は、これを疑うのは当然です。この場合、2要素認証は1つの要素、つまりデバイスになります。

スマートデバイスが不十分な資格情報を作成するもう1つの理由は、デバイスにソフトウェアスタックがあり、通常、サードパーティのアプリケーションを実行していることです。つまり、マルウェアが存在します。マルウェアに感染したスマートデバイスは、クレデンシャルとして利用するという点で盗まれたスマートデバイスと同等です。

マルウェアはログインを開始し、着信SMS /通知を待機してキャプチャし、第2要素のコードを読み取ってログインを完了します。最も極端なケースでは、これはユーザーの知らないうちに起こります。

要約すると、あまり心配しないでください-この問題を認識しているという事実は素晴らしいです。スマートフォンにパスワードが保存されていないか、自動ログインが提供されていないことを確認してください-攻撃者はまだアプリをロックできません。保存されているパスワードを電話のHDDから直接読み取ります。

また、実際のセキュリティが必要な場合は、破壊できないハードウェアトークン(TOTP/HOTPトークンなど)を使用します。とはいえ、スマートデバイスを使用する方が、第2要素をまったく使用しない場合よりもはるかに優れています。

7
lynks

スマートフォンのアプリでGmailサーバーと通信するアプリ固有のパスワードを使用し、アプリをインストールするときに注意する限り、問題ありません。

スマートフォンが盗まれた場合は、アプリ固有のパスワードを取り消し、GMailに他のすべてのログインセッションをログアウトさせるだけです。

second要素(電話)は危険にさらされていますが、first要素(パスワード)は危険にさらされていません。攻撃者は両方が必要です。このため、攻撃者はまずキーロガー経由でGmailのパスワードを取得するか、偽の証明書を使用したMITM攻撃を実行し、thenで電話を入手する必要があります。はるかに難しいですが、決心した人はおそらくそれを得ることができます。

悪意のあるアプリがGmailのパスワードとインターセプト認証メッセージの両方を取得する可能性があることに注意してください。

3
Manishearth

電話の紛失を軽減する1つのオプションは、特定のアプリケーションにアクセスするためにパスワード/ PINを必要とするアプリブロッカーを用意することです。これにより、電話自体のロックを解除する簡単な方法が1つあり、アプリケーションのロックを解除するための別の手順が必要になります(そのため、誰かがしばらく電話を借りた場合、ブロックされていない機能にしかアクセスできません)。電話が盗まれた場合、攻撃者は2要素認証を無効にしてパスワードを変更するのに十分な時間遅延するはずです。

@lynksが説明しているように、マルウェアや熟練した攻撃者から保護することはできませんが、常にアカウントのパスワードを入力する手間がなく、比較的安全です。また、セキュリティと利便性は常にトレードオフの関係にあるため、ユーザビリティを犠牲にすることなく、高いレベルの保護を実現することはできません。これは、「このコンピューターを記憶する」オプションと同じです。その場合、コンピューター自体(または、より具体的には、ブラウザーのCookie jar)が2番目の要素になるため、信頼されていないコンピューターでのみコードを入力する必要があります。

追加の注意:1日に何十回も電話で電子メールをチェックする場合、自動ログインをオフにすると、小さなキーボードで複雑な/長いパスワードを常に入力する必要があるか、または終了します弱いパスワードを使用してアップ。たまにしかやらないなら、それは問題ではありません。これは先に説明したトレードオフの一部なので、覚えておいてください。

2
mgibsonbr