｢SMS認証、破られるリスク｣　米政府機関が注意喚起

SMSやメールはタイムラグに苛々することもあり、
出来るものは総てパスキーに置き換えています。

キャリア内のネットワークにアクセスできる時点で、通話だろうが暗号化されたデータだろうがキャプチャし放題ですからねぇ。
そもそも暗号化だって完ぺきではない。復号にしらみつぶし以外の方法が見つからないから時間が掛かるというだけで、時間とコンピューターリソースさえ掛ければ復号できる可能性はある。そんな古いデータが復号出来ても価値が期待できないから誰もやらないですけど。

パスキーとgoogleやappleなんかの提供するジェネレータ（仕様統一して欲しい。してるかな？）にみんな置き換えて欲しいですね
SMS認証だとスマホが手元になかったり海外にいたりすると使えなくなるので不便だったりもしますね

>> pmaker さん

パスキーも、全部一つのハードウェアFIDOキーにできるなら、Yahooもdocomoも設定しますけど……

Googleは設定済です。しかもうちにFIDOキーが複数転がっているので予備用も設定済(笑)

>> pasorin さん

別売ドングルを用いる方法は追加コストと利便性の欠点があるので、どこまで普及、採用がなるかなあってとこですね

>> pmaker さん

セキュリティ面と「鍵一つ」というメリットがありますけどね。UAFだと、Googleの管理画面がキーだらけになるんですよ。

ただ、私は仕事上必要だったから買いましたけど(買ったのは2つですが、手元には10近くあるwww)、コンシューマーユーザーに5000円以上のキーを買えとは言えませんな。

ちなみにPasskeyの仕様として、物理キーでないとダメどころか、特定ベンダーのキーでなきゃダメと強度を上げる仕様があります(重要なサーバーの管理とかはそっち使ってねって話)。

さらに高いyubico 5シリーズを買えばTOTPにも対応と記事が出てますが……IIJのエンジニアだからなぁ(投稿でIIJ米当たりました)。
https://eng-blog.iij.ad.jp/archives/29493

>> pasorin さん

＞セキュリティ面と「鍵一つ」というメリットがありますけどね。UAFだと、Googleの管理画面がキーだらけになるんですよ

それはパスキー端末を増やさない運用が可能だと思います
私のメイン端末はLinuxですがパスキー端末になれないのでそのときはandroidスマホの認証で2段階を実施しています

話は逸れるかもしれませんが、それこそ「ソーシャルエンジニアリング」やられたら、どれだけ強力な保護ソリューションを使っても破られてしまうという現実はあります。

ただ、そもそもセキュリティに配慮してる方ならソーシャルエンジニアリングでひっかけられることはないはずですけどね…。

※そういえばスマートフォン用のプライバシースクリーン、
　昨今あまり見かけなくなりましたね…(笑)
　→私は自分の端末に付けてます。
　　Okta入れてるので…。

ただ時刻同期型の OTPでも NW側遅延などで生成コードがずれることは頻繁に経験しているため、
そういう状況では「まあ、認証通るまで時間を置きますか…(笑)」でごまかす次第です。

鉄壁を求めたいなら「完全クローズドにして、絶対に外部へ露出しない・持ち込めないシステム」に
しないとどうしようもないです。

でもそれ以前に「利用してる人間、あんた自身が一番信頼できないでしょ？」を前提に考えないと
まあ無理だよねえ～、と結構冷静にケース設定してみたりします。