web-dev-qa-db-ja.com

Steamと二要素認証

Steamプラットフォーム は、ユーザーが2要素認証を使用するように設計されています。 Steamのコミュニティタスク(達成のような目的)の1つは、「2要素認証にSteamモバイルアプリを使用する」です。これは誰でも公開プロフィールに表示されます。

これにより、ハッカーはアカウントが2要素認証を使用しているかどうかをすばやく確認でき、より効率的にターゲットを選択できるようになります。

このセキュリティリスクを心配する必要がありますか?バルブに報告する必要がありますか?それとも無害ですか?

この機能は2FAの目的を完全に損なうものではありませんか。ハッカーは単に2FAを使用するアカウントを避け、2FAなしで価値のあるターゲットである他のアカウントを選択するだけです。

12
Meta

これは ホームアラームシステムサイン のように機能すると思います。正面の芝生にある看板自体は、家の中に侵入しようとすることから泥棒を阻止します。

同様の意味で、このアチーブメントを持つことは兆候のように機能します。攻撃者がこれを見た場合、認識された難易度が高まるため、このアカウントに侵入しようとはしないかもしれません。

これにより、別のアカウントがターゲットにされる可能性が高くなりますか?

  • 可能性のあるターゲットのプールが小さくなっただけなので、そうだと思います、そのプール内の個人はターゲットになる可能性が高くなります

アチーブメントのない人は、攻撃される可能性を減らすために何ができますか?

  • ホームセキュリティサインを設置する(2要素認証を有効にする!)

概要:2要素認証を損なうことはありませんが、うまくいけば、他の人がベストプラクティスに従うことを奨励しますアカウントの保護に。

17
d0nut

2FAの目的を損なうことはありませんが、2FAを使用していないユーザーのセキュリティに影響を与える可能性があります。

2FA の目標は、ログインを必須に変更することです。具体的には、知っているものと持っているもの。 2FAを使用するユーザーのリストを公開しても、2FAのセキュリティは低下しません。攻撃者は依然としてパスワードとデバイスを取得する必要があります。

一方、2FAを使用しないアカウントでのみ機能する攻撃戦略がある可能性があります。たとえば、 パスワード辞書攻撃 が可能な場合、攻撃者は公開されたリストを使用して、2FAを使用しないアカウントを特定し、パスワード攻撃に対して脆弱になる可能性があります。

5
Neil Smithline

質問される可能性のある3つの異なる質問を区別することが重要だと思います。

  1. これは2FAを使用する特定のユーザーのセキュリティを弱体化させますか?回答:いいえ。2要素認証を使用している場合、パブリックにしても、攻撃者がアカウントに侵入することはできません。どちらかといえば、一部の攻撃者があなたを攻撃するのを阻止することで、あなたを助けます。

  2. これにより、2FAを使用しない特定のユーザーのセキュリティが損なわれますか?回答:はい。多少、2FAを使用しないユーザーに対して攻撃者が標的型攻撃を仕掛けやすくなるためです。

    とは言っても、これを常に見通しておくことが重要です。それは無害ではありませんが、破壊的でもありません。それがゲームチェンジャーになるとは思わない。ユーザーの50%が2FAを使用するとします。その後、攻撃者が多数のアカウントを連続して攻撃しようとした場合、質問で指摘された情報漏えいを使用して、試行する必要があるアカウントの数を最大で2分の1に減らすことができます。とはいえ、多くの攻撃者はおそらくパブリックプロファイルを確認することさえしないだろうと思います。これらの攻撃者にとって、この情報漏えいは影響を及ぼしません。

  3. これにより、エコシステム全体のセキュリティが損なわれますか?回答:はい、ややそうです。もちろん、これは主にユーザーではなく、Valveに関連しています。彼らは彼ら自身の収益を保護するインセンティブを持っています。

ユーザーとして懸念がある場合、1つの可能な応答は、Steamアカウントで2FAを有効にすることです。

この情報漏えいを開示するために、Valveに連絡する必要がありますか?もちろん?

2
D.W.