(関連性の高い 質問 がありますが、私のパスワードはresetなしでパスワードを処理するため、重複していないと思いますログイン中のchangeではなく、アカウントへのアクセス。)
アカウントの登録に使用したメールに誰かがアクセスしたとします。アプリが生成した30秒のコード、U2Fキーなど、これらのアカウントにはすべて何らかの2FAがあると仮定します。タイプは私の質問には関係ありません。
私の理解では、攻撃者がアカウントのパスワードを変更するには、2つの方法があります。
アカウントにログインし、関連するメールを使用せずに、内部設定でパスワードを変更します。関連するアカウントのアクティブなセッションをコンピューター/電話から離れたままにしていても、ハッカーがアカウントのパスワードを推測する必要がなくても、変更は不可能です。これは、上記の質問で説明されているように、少なくとも2FA検証、おそらく2FA +元のアカウントパスワードが必要になるためです。
アカウントのログイン画面で、「パスワードのリセット」オプションを使用して、ハッカーがアクセスできると想定したメールアカウントにリセットメールを送信します。私はその後何が起こるかについて混乱しています:
もちろん、シナリオ1)は正当なユーザーの観点から最も望ましい、2)かなり悪い、3)悲劇的です。しかし、誰かが2FAが有効になっているアカウントのパスワードをresetしようとしたときに実際に起こるのはどれですか?
技術的には、これは2FAにどのように実装すべきか(またはどのように実装することを期待すべきか)に関する質問です。2FAには答える固有がないためですどちらの方向にもあなたの質問。そうは言っても、確かにベストプラクティスがあります。
2FA(または一般的に多要素認証)は、ユーザーが何らかの方法で(つまり、authenticateに)身元を証明するように求められている場合に適用されます。 。そのため、ユーザーが通常パスワードを要求する場合(ユーザーの現在のパスワードまたは電子メールアドレスの変更、MFA設定の変更など)を実行しているときは、MFAを要求する必要があります。また、パスワードのリセットメールのリンクをクリックするなど、ユーザーがパスワードの代わりに何かをしているときはいつでもMFAを要求する必要があります。
3つのシナリオでは、パスワードリセットの電子メールを要求するために通常は認証がまったく必要ないため、#1は起こりそうにないので、MFA要求を配置するのは奇妙な場所です。ただし、電子メールを何らかの方法で使用する(つまり、実際にパスワードをリセットする)には、MFAが必要です。したがって、#2は技術的に正しくありません-攻撃者がパスワードをリセットすることはできません-しかし、彼らがどちらにもログインできないことは事実です。正解は「#1.5」のようなものです。
ただし、繰り返しますが、「どちらが実際に発生するか」は、特定のサービスがMFAをどのように実装したかによって100%全体に依存します。彼らがそれを正しく行ったという保証はありません。 #3のようにそれをするサイトを見たことがあります。
私が間違っていない場合は、2FAを手動で無効にする必要があります。パスワードを変更しても2FAは無効になりません。一部のサイト/アプリケーションでは、パスワードを変更するために2FAが必要になる場合があります。したがって、2FAを無効にする方法について、攻撃者のPOVを確認する必要があります。
2FAの無効化はサイトごとに異なります。たとえば、暗号通貨サイトでは、必要なID /パスポートを使用して、ビデオや自分の写真などの手動識別が必要です。電話番号へのOTPと同じくらい簡単なものもあれば、予備のメールを介したものもありますか?
攻撃者がパスワードをリセットできる場合でも、攻撃者は2FAを必要とします。これは、ポイント2に応答します。ポイント1の場合、パスワードのリセットに2FAは必要ありません。考えてみてください。「パスワードをお忘れですか?」をクリックします。 >パスワードをリセットするメールを入力> 2FAプロンプト?答えはノー、その段階では2FAのプロンプトはありません。