web-dev-qa-db-ja.com

Paypalの2FAセキュリティは本当にこれほど悪いのですか?

私は今、この分野の専門家を意味しますが、精通しているかもしれませんが、それが可能である場合、Paypalがそれをどのように許可しているかを理解することはできません。

電話がデバイスとして設定されている2要素認証が有効になっているとします。

あなたはあなたの電話を失い、誰かがそれを見つけます。彼らはすぐに電子メールを開き、あなたがPaypalアカウントを持っているのを見て、それにアクセスすることに決めました。

彼らはPaypalに行き、「パスワードを忘れた」をクリックします。 Paypalはあなたが所有者であることを確認するためにいくつかのオプションを提供します:

  • 彼らにあなたを呼んでもらいます
  • セキュリティの質問に答える
  • SMS確認コード付きのテキストを受け取る

その人はすでにあなたの電話を持っています、彼らはSMSオプションを選びます。彼らはコードを含むSMSテキストを受け取り、パスワードをリセットします。そして彼らは。

本当に?それでおしまい? 2ファクタ認証に使用する電話を失うことは、基本的に、見知らぬ人がそれを見つけたらすぐにアカウントに入ることができることを意味しますか?

これは非常に愚かです...パスワードをリセットしたい場合は、2つのFAデバイスを持っているかどうかに関係なく、常に質問する必要があります。

3
Alex

はい、そうです。携帯電話でメールの保護を解除し、携帯電話を2番目の要素として使用する場合、実際には携帯電話が唯一の要素になります。したがって、PINを使用して電話を保護し、暗号化します。または電話をまったく使用しないでください。

または、スマートフォンを紛失した場合に備えて、事前に定義された特定の対策が必要です(メールパスワードをリセットして、スマートフォンがメールを受信しないようにするなど)。

何年も前に、Paypalはハードウェアトークンを2faとして提供していました。私は1つのアカウントに1つ持っていて、それで結構です。問題は次のとおりです。次の問題は、Paypalに明らかにSMSゲートウェイがあることです。テキストメッセージが届くまでに時間がかかることがあります。悪いことに、「迅速に」お金を送りたい場合は、.

5
cornelinux

本当に?それでおしまい? 2ファクタ認証に使用している電話をなくすということは、見知らぬ人に見つかればすぐにアカウントに入ることができるということです。

電話は2番目の要素であり、他の要素にアクセスできます。

PIN、パスワード、顔ID、タッチID、またはその他のロックメカニズムが電話にないは、実際に直面している問題です。スマートフォンをセキュリティデバイスとして使用する場合は、それをセキュリティデバイスのように扱います。ロックを使用します。

Paypal 2FA(およびその他)がなくても、誰かがあなたの電話を見つけ、簡単にロック解除(またはロックを解除)でき、メールを取得できる場合、さまざまな問題が発生します。パスワードのリセットがFinderで利用できるようになり、Amazonなどでの買い物が次のステップとして簡単になります。

2
TristanK