【小ネタ】eoID、定期的に MFA(多要素認証)設定するってよ
10月頃に eoIDの多要素認証(MFA)強制設定が開始されましたけど、先日「MFA設定されてないから強制設定しますよ!」とまた mailで連絡が来ました。
セキュリティ面を勘案してわざと MFA解除したのにまた強制設定されるらしいです。うーむ、そんなに不正アクセス多いんですかねえ?。
で、サポートに以下を問い合わせてみました。
Q1:●MFAをユーザー側検討で一度解除してるのに
またシステム側権限で強制的に設定するんですか?。
Q2:これは定期的に行うアクションですか?。
サポート側からは以下のように回答が来ました。
A1:eoIDの MFAを無効にしてる方は強制的に設定します。
A2:定期的に強制設定設定します。
うーむ、そんなに認証情報抜かれると困るような状況なのか?、と個人的には首をひねるというか?。
まあ、セキュリティ面の見直しを行わない方にとっては MFA強制化がシステム管理者としても楽なんでしょうね。
リスク判断した結果、MFA解除してるユーザーは定期的に解除しないとダメみたいです。
前回が10月頃→見直しが12月、となってますから、おそらく「定期的」というのは四半期ごとなんでしょう。
ちょっと面倒ではありますが(v_v)。
※まあeoID不正アクセスされたとしても
私の場合は「個人の判断による結果」と
して損害被るつもりですし、
そもそもそんなことがあるなら「そういう程度の
セキュリティ管理で運営」してるので
距離を置く(さっさと解約する)とする
でしょうけど。(苦笑)
止める止める詐欺みたいなことはしませんので。:)
9 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
私はほぼPCで管理してるので
一日に何回かログインしなおすので
物凄く手間になります。
今見てみたら、確かにマイページに「解除」のメニューがありました。
そのために、定期的に二段階認証をオフからオンに強制切替される操作が入るのですね。
信頼済み端末も有効期限があるんでしょうかね?今の所は再認証を求められた事は無いので、一度信頼済みに登録をしておけば、ずっと有効な気がしています。
※個人でU2F買う人は少ないと思いますが、便利ですよ
私「この鍵束の中に……」
意識高「デジタル化すればこのようなものはなくなる」
私「いや、FIDOキー入っているんですよ」
セキュリティ向上の致し方無いかも知れないません。スマホにセキュリティソフト いれないこともあります
入れるいれないは、個人のもあり、
自分は大丈夫と思っても、危険性はある
難しい問題です。
2段階認証はそれ程でも無いかも?
信頼済みにすればok
でも、此で安心とも限りません。
難しい難問題ですね
>> pasorin さん
オプテージは企業向けの情報システムの受託しているのでFIDO U2FによるMFAの運用ノウハウも持っていると思うので、無茶な要求ではないと思うのですけどね。・【ケイ・オプティコム】eoIDに対する不正なログインについて
のお知らせ(2018年8月21日更新)
https://www.k-opti.com/announce/180815/
この後からパズル認証が登場して、さらに2段階認証も入れて来たのだと思います。
パスワードを適切に設定し管理していれば2段階認証でなくても一定水準のセキュリティが保てるかとは思いますが、使いまわす人が多く、再び被害が起きるのを防止する為にそのような対応なのかもしれませんね。
ちなみにご存じかとは思いますが「信頼済端末」として一度登録した端末からなら、ID・パスワードだけでログイン可能です。
※MFAはあくまでも「認証要素の多様化という
手段の一つでしかない」ので。
目的と手段がさし変わってる時点で「ああ、大したことねえな」と。
そもそも不正アクセスされた基盤であれば、いくら改修しても「改修後の環境想定を類推できる可能性はある」ので。
本来は No Trustで「そもそも認証自体も信頼できない(笑)」くらいまでシビアに見てないと、また不正アクセスされるんじゃないかなあ?、とは感じます。:(
追伸:
とはいえ、他にお手軽な認証要素の高度化手法はないと観てるんでしょうね。
コスト掛けずに対応するにはそれしかないですし。
ログイン対象端末を信頼するとかいうのも「端末特定要素がバレて
しまえば終わり」です。(笑)
→どうせ Cookieとか行って GUIDレベルでしょう。
スマートフォンだったら良いかもしれませんが、 GUIDは
PC OS環境だと「再インストールした場合、新たに生成される
可能性がある」ので、そもそも信頼に足るものではないです。:(