  |
はてなキーワード:2段階認証とは
パソコンもLANケーブルを外しWi-Fiとブルートゥースをオフにする。(タレント教授が、イヤホンなどブルートゥース接続はノイズの侵入を許すとテレビでいっていた)
つぎに、生ハンバーグを好きな数だけこねる。好きな数だけこねる。好きな数だけこねる。
そうした後で、機内モードを解除し、一気に焼く。
Zzz
アンドロイドの電子レンジを使用中に、「・」や「前方後円墳」マークが時刻表示の横に現れた人は、今すぐiOS家電に乗り換えたほうがいい。漏電している。
🍎アカウントの2段階認証に、見慣れない番号が登録されていたら、それを直ちに削除し、鍵🔑を変えよう。漏電している。
不可視の可能性があるので、念のため、一度2段階認証をオフにして、再度オンにするといいだろう。
鍵🔑は電子レンジの中に保存しないほうがいい。
まず、最初に訂正です
これは、私があなたの状況をちゃんと把握していなかった(それは今も)ので、あなたの状況にはたぶん当てはまりませんね
おそらく、
が正しいと思われます
また長くなってしまったので、最も理解して欲しいことを先に書いておきます
以下、上から順にコメントしていきます。乗りかかった船ですので
別にあなたの気持ちを汲んでパスワードの再設定処理になっているわけではないことは理解できますよね?
単純に、あなたが「パスワードを間違えた」から、パスワードの再設定の処理になっているのです
パスワード再設定用の連絡先に電話番号もメアドも設定されていなければ、恐らくその時点で「詰み」です
# 状況から察するに、恐らく最初にGoogleアカウントを作成する際に電話番号だけは登録していたのだと思います
#Googleアカウントの設定で、([セキュリティ]ではなく)[連絡先情報]の方に電話番号が設定されている状態です
# ここの値が[セキュリティ]-[再設定用の電話番号]にコピーされる挙動をしたような気がします
事前に登録されていない連絡先経由でパスワードを変更できたら、それは一般的にはセキュリティホールです
一般論でパスキー設定したら「パスキーの復元方法ではない」パスワード復元のための別メアド登録や複数電話番号登録するものでしょうか?
再設定用の電話番号やメールアドレスは、*2FAの設定とは別に*、パスワードリカバリ用に設定するものです
本気で理解する気があるのなら、Googleアカウントの設定を確認してください。そのようになっていることは一目瞭然です
(なお、「再設定用の電話番号またはメールアドレス」が設定済の状態で2FAを有効にすると、自動的に2FAの設定値にもコピーされたと思います)
2段階認証とは、いうまでもなく1段階目の認証ありきであり、Googleにおいてそれはパスワードです
(詳しい挙動は知りませんが、2FAの設定値含め登録済の情報をいくつかGoogleに示して本人であることが証明できれば、アカウントリカバリできることがあるようですが)
パスワード忘却時のリカバリ手段はあくまで、「再設定用の電話番号またはメールアドレス」であることを理解してください
私はGoogleの関係者でも何でも無いので、知りません(技術的にはそんなに難しくないような気はします)
「パスワードを忘れたうえにリカバリ手段も適切に設定していなければ、ログインできなくなる」がわからない人がいるとも思えませんが、それも断言できません
> ・電話番号は1つしかないしメールは当該アカウントのGmailしかないけど、他人の電話番号やフリーメールは紐付けたくない
子供のアカウントに親の電話番号を登録するようなことはごく一般的にされていることですし、それでリカバリに成功している例はいくらでもあります
あなたがそう思うのは自由ですし、SIMスワップについてまで説明する気もありませんが、SIMスワップを警戒して電話番号を手放してしまうよりは自分で元の電話番号を取り戻した方がよい気がします
それはそう思います
ただ、「作成保管しないと詰みます」というのは、条件によるので明確に誤りです
最初にも言いましたが、あなたのケースは2FAの設定以前に『パスワード再設定用の連絡先が電話番号だけにもかかわらず、電話番号を手放してしまった』ことが詰んだ原因だと考えられます
正直、なにが言いたいのかよくわかりませんが、
上記の条件がアンド条件だということを理解されていないのでしょうか?どれか1つでも、許容できる条件はないのでしょうか?
できないのであれば、先にも言ったとおりスマホを無くしたら「詰み」の可能性が高いです。ただそれだけです。パスキーも2FAも本質的に無関係です
察するに「だから俺は悪くない」と主張したいのだと思われますが、ここでそれをしても何も得るものはありませんよ
Googleのリカバリ仕様がおかしいだけで、他のサービスでスマホ紛失してもパスワード再発行のリカバリは容易にできますよ。
それはあなたが事前にリカバリ手段を正しく設定していたからではないですか?
そうでないなら、先ほども言いましたが、一般的にはセキュリティホールです
("容易に"でなく、サポート窓口などが対応することはあり得ると思います)
単純に、GmailがGoogle自身のサービスのために、Googleのリカバリ手段の設定(具体的にはメアド)が足りなかっただけの話ではないですか?
私は別に、「Googleが万人にとって望ましい設計になっている」と主張しているわけでも
まして「あなたにとって望ましい設計になっているべき」だと思っているわけでもありません
あなたにとってGoogleが理想のシステムになっていないことはよく理解できました
他人のアドバイスよりも「Google自身が分かりやすく説明していない設定はするべきではない(設定できない)」という主義(?)であることもなんとなく理解できます
ただ、それをここで言われても私には何もしてあげられません
私はただ、「パスキーのせいで詰んだ」というのが誤解であると説明しているだけです
別に私の説明を鵜呑みにする必要もありませんし、むしろその態度自体は素晴らしいと思います
是非、ご自身でよくお調べになった上で理解されるのがよいと思います
[追記]
なぜこんなにパスキーのせいだと思い込むのかを考えていて、ちょっと想像できました
あなたは、「パスキーを有効化したら、パスワードは使わなくなる(忘れてもいい)」と考えたのではないでしょうか?
で、パスキー(スマホ)を無くしたときにパスワードを要求されて…という流れでは?
(まぁそれがあっててもそうでなくても、どうということはないのですが)
| 比較ポイント | PayPay | 一般的なクレジットカード |
| --------- | -------------------------------------------------------- | --------------------------------------------------------------------------- |
| 利用情報の反映 | 決済直後にアプリ取引履歴とプッシュ通知へ即時反映。金額・店舗名まで確認可。 | 店舗が売上データを送信後にカード会社が反映。早くて2~3日、遅いと2週間以上、ネット通販では2~3 か月遅れることも。 |
| 速報通知の普及度 | 標準機能(通知OFFでも履歴は即反映) | 一部カードで「利用速報」プッシュ実装。ただし速報はオーソリ情報なので、店舗がオフライン処理・後送信の場合は届かない。 |
| 利用停止アクション | アプリで即時ロック/1日の上限変更が可能 | コールセンターや会員サイト経由。速報がない取引は明細確定後に気づく場合も |
| 被害補償 | 申告から原則60日以内の届け出で全額補償(PayPay規定) | カード会社ごとに60~120日程度の締切+不正補償(盗難保険・チャージバック) |
いろいろ条件があるから、詳しくはPayPayの補償に関する規約を確認してネ♡
---
PayPay は「決済情報が即時に可視化され、アプリからワンタップで対処できる」構造上、クレジットカードよりも不正に気付くまでの時間が短く、結果として“手遅れ”になる可能性が小さい――と言える。
ちなみに…
| 用語 | ニュアンス/法的ポジション | PayPay補償での具体的な行為 |
| ----------------- | ------------------------------------------------- | ------------------------------------------- |
| 申告(しんこく) | 「○○が起きました」と事実を報告する行為。行政手続では「一定の事項を明らかにして知らせること」と定義される。税の *確定申告* が典型例。 | 不正利用に気づいたら60日以内に 1) PayPay窓口へ連絡し取引詳細を報告 2)警察にも「こういう被害に遭った」と申し出る――ここまでが“申告”扱い。 |
| 届け出(とどけで)/被害届 | 事実を公式記録として提出する手続。提出後に行政(警察)が記録し、受理番号が発行されるが、原則として許可・判断は伴わない。 | 補償申請の条件として警察へ被害届を提出し、受理番号や書類をPayPay側に提出することが求められる。これが「警察へ被害の届出」要件。 |
---
---
パスキーを設定するだけならバックアップコードの取得は必須じゃない
Googleアカウントには「パスワードだけでログインできるモード」(デフォルト)と「パスワードに加えて2段階認証(2FA)が必要なモード」がある
2FAには、SMS、TOTP(Google Authenticatorとか)、バックアップコード、すでにログイン済みの端末で許可するなどの方法が使える
パスキーは単独でパスワード+2FAの効力があるけど、2FAを必須に設定してなければ単なるパスワードの代わりとして機能する
2FAは有効にした方がもちろん安全だけど、十分に複雑で使い回しでないパスワードを設定していて、普段パスキーを使っているなら必ずしも2FA必須にしなくてもいい
パスキーはパスワードと違ってフィッシングによって奪われる心配がないから
タイトルがヘタすぎました。すみません。垢BANについては書いてないです(それは自分も知りたい)
改めてタイトルつけるなら 【2段階認証を安全に運用する方法(Google版)】 とかかなぁ
ちょっと勘違いしている人がちらほらいる(トラバ参照)ので追記しておきます
↑ということです
パスキーは『不正ログインのリスク』への対策の意味が大きいです
一部の人が感じている『パスキーを有効化すると詰みそう』というのは、少なくともGoogleには当てはまらないと思ってます(認証方法が*追加*されるだけだから)
2段階認証の認証方法を適切に管理するのが難しいなら、(『不正ログインのリスク』とのトレードオフを認識した上で)『2段階認証をOffにする』べきであり、パスキーとは直接的には関係ないです
2段階認証の設定を最新化できていないとか、電話番号だけにしているとかだと、パスキーを使っていなくても詰みます
自分が書き始めたきっかけがパスキーの話題だったので、わかりにくくて申し訳ない
できるだけ楽に以下のリスクからGoogleアカウントを守る方法を考えてみたよ
最低限、以下があればいい
| アカウント名 | 忘れないようにしましょう |
| パスワード | セキュアに生成し絶対に使い回さない。安全な場所に保管しておく(PW管理ツールを使う) |
| 2段階認証 | 有効化しておく |
| バックアップコード | 2段階認証を設定すると生成できる。安全な場所に保管しておく |
| パスキー | 普段使うデバイスで使えるようにしておく(複数登録できる) |
Googleのアカウント管理がやっかいなのは、Gmailやパスキーを使うのに必要となること
Googleにログインできなくなると、Googleに保存していたGmailもパスキーも使えなくなってしまう
なので、Googleだけは多少手間をかけてでも、リカバリ手段を確立しておく必要がある
その他の一般的なサービスは、登録したメアドさえ生きてればまぁなんとかなるでしょ(それはそれでどうかと思うけど)
いずれにせよ、どんな認証手段であれリカバリ手段はちゃんと確保しておきましょう
この前スマホ落とした。
落としたあとが非常に手間だったので書いていく。
家中をどれだけ捜索してもスマホがなかったので落としたのだと思い至った。心当たりがあったのだ。
そしてスマホ落としたことに気付いて一番最初に思ったのが悪用。2段階認証を突破されかねないと思った。
その後悪用はまあパスワードかかってるし基本的には大丈夫だろうと思い直し、家のMacからFind myiphoneで紛失モードにした。電源が切れていたのでどこにあるかは不明だった。
Macで公衆電話の場所を探し、最寄り駅にあったので公衆電話まで行く。
そしてここで痛恨のミス。
警察署の番号を調べてくるのを忘れる。
スマホで電話番号を調べようと思い、スマホを取り出そうとしてスマホが無いことに気付き、家に帰ることに。
家に帰って、あ!そうだ!ネットから紛失届を出せばいいんだ!なんでこんなことに気づかなかったんだ!と思う。
しかし遺失物発見時の連絡先が電話番号になっていたので、意味ねえなと思いながら登録。
スマホなくしたのに、スマホに「スマホ届いてましたよ」って電話されても困るわけで。
仕方ないので警察署の電話番号を調べて紙にメモし、公衆電話までまた行くことに。メモ帳とペンも忘れず持参した。
銀行なども2段階認証を入れていたので解除できないものがあり、キャッシュカードで利用していた口座の残高が2000円ほどしかなく本当に焦った。
公衆電話からダメもとで警察署に電話をかけ、スマホの特徴を言うとそれらしきものが届いているという話でかなり安堵した。
そこで自宅の最寄り駅から警察署に向かうことになったのだが、ここでまた、今度は警察署の場所がわからない。いや、警察署の大まかな場所はわかるが、どこをどう行けばわからず困った。
また家に帰ることに。
ここで、Macから流れるようにAirDropでGoogleMapのキャプチャを送ろうとして「なんで俺のiPhone表示されないんだ?」と少し戸惑うなどしていた。
すぐに「スマホがねえんだよバカか俺は」と思い直し、メモ帳に手書きで書いていた。
目印はここ、ここを曲がるみたいな。
今思えばMacに画像を保存してMacごと持っていけばよかったなと。焦りすぎていた。
駅につき改札を通ろうとする。
ここで俺は気付く。うわ切符買わないとだめじゃんと。
そうか、紙の切符が本当はメインなんだ、ICカードはあくまでサブなんだ……ということを思い知った。現金があるのに通れない改札なんてあってはいけないものなと。
電車に乗り、暇を潰す。みな当たり前のようにスマホを使っている。暇つぶし用に持ってきた本を読みながら警察署付近の駅まで揺れる。
警察署の近くの駅につく。
だが駅から出れない。
何番出口から出ればいいのかメモするのを忘れた。どこから出ればいいんだ???と迷っていた。
駅員に聞こうと思ったが、適当に歩いたので改札がどこにあるかもわからずパニックに。
めちゃくちゃに歩いてなんとか改札を発見し、警察署に行きたい旨を伝えると、「ここじゃないですね」と言われ別の改札を案内される。その後なんとか改札を出た。
途中また迷うが、道路の標示や太陽の方角などを手がかりにしたり、途中たまたまあった交番で警察署の場所を聞くなどした。
これだ!!!!と確信したが、パスワードを教えてくれと言われた。
パスワードを教えると署内であけて中を見て本人かどうか確認してから渡すという話。
見られたくなかったので断ると、結構キレ気味にじゃあSIMカードの製造コードを教えてくださいと言われた。それがないと渡せないと。そして窓口がもう閉まるから明日来てくれとも言われた。
そのまま何もできず家に帰り、家の中を片っ端から漁り、製造コードを見つけ、それをメモ帳に書いた。
翌日、警察署が開くタイミングで昨日と同じように切符を買い、メモ帳を持って警察署へ向かった。
やった!!!文明の利器だ!!!社会に戻れた!!!という気持ち。
ちゃんとモバイル充電器も持っていったので、刺して復活したあと連絡不能だった人々に連絡をしまくった。
そしてうおおおおICカード使える!と思って改札にかざしたが、動かず右往左往することに(1度紛失モードになるとロックがかかるらしく、運営会社に問い合わせして解除してもらわなければならなかった)
仕方ないので帰りも切符を買って帰った。
家に帰り即銀行振り込みを決行。いろいろな引き落としが間に合う。
スマホがないと何にもできないんだなと思った2日間だった。
Permalink |記事への反応(18) | 03:26
という状況なんだが、この前2段階認証のためのワンタイムの認証メールが飛んできた。これは正確なidとパスワードが入力された後にしか飛んでこない。
つまりパスワードが漏洩してるんだけど、漏洩元は楽天証券以外あり得ないと思う (可能性としては1Passwordもあるけどまああり得ない)
Googleアカウントは基本的に複数作成することができます。具体的には、**制限はない**と言われていますが、以下の点に注意する必要があります:
1. **メールアドレスの重複**
各アカウントは異なるメールアドレスでなければならないため、同じメールアドレスを使い回すことはできません。新しいアカウントを作る際には、異なるGmailアドレスや外部のメールアドレスを使用する必要があります。
Googleが不正な目的でアカウントを大量に作成した場合(例えばスパム行為やサービスの不正利用など)には、制限やアカウント停止のリスクがあります。そのため、正当な理由でアカウントを作成し、利用することが求められます。
複数のGoogleアカウントを管理するのは、パスワードやセキュリティの管理が難しくなる可能性があります。Googleは2段階認証を推奨しており、アカウントの安全性を保つために注意が必要です。
総じて言えば、特に制限は設けられていないものの、Googleの利用規約に違反しないように適切に管理することが重要です。
……………………………………
バッカじゃねーのかな。
この仕組みを考えた奴何も考えてねえだろ。
こう言う頭のいいふりしたバカにシステムを作らせてはいけない。
eSIMを設定したモバイルルータが死んだので、楽手モバイルでeSIMの再発行手続きをしたところ、二段階認証の表示が出た。
SMSまたは登録のメールでコードを送ったのでみてね、だそうである。
しかし待てど暮らせどメルアドにコードが送られてこない。なんだこれは。
https://network.mobile.rakuten.co.jp/faq/detail/00001914/
継続的にセキュリティー対策を強化しており、5月下旬より一部のお手続きについてワンタイムパスワードの送信方法をメールからSMSに変更しました。
は?
ばっかじゃねーの? ホテルで部屋のパスワードを忘れたので新しく発行してくれと言ったら、部屋の中にメモを書いておいといたと言うようなものである。鍵を開けるための鍵を鍵の中においてどうするのか。
さらに
送信されるメールには15分間有効と記載されていますが、ワンタイムパスワードの有効期限は発行から3分です。
どこを探しても見当たらないので、楽天モバイルのチャットサポートに行った。
例によって延々とFAQを検索しろ、このページを見ろと書かれたページを下までスクロールし、チャットサポートをオープンするリンクを見つけるも、最初はbotに繋がり、botに「SMS認証されてもSMS受診できないんだが」と入れて上記の何も答えになってないページを案内され「満足しねえよ」のボタンをおし、さらに「解決しねえよ」というボタンをおし(ここで満足をおすと解決扱いになってオペレータ接続のボタンが出てこない)ようやく出てきた「オペレータとの連絡を希望」のボタンを押すことで、真のチャットサポートにたどり着いた。
オペレータとの接続を待たされること1時間弱、出てきたオペレータに状況を伝えると、何と特に本人確認もせず「今から30分間だけ二段階認証を解除するのでその間に手続きしてくれ」と言う答えだった。
そして楽天アプリでリロードすると、今度はワンタイムパスワードを入れると言う画面にならずにあっさりと認証が通って、eSIMがあっさり使える様になった。
使える様になったのはいいんだが……あれ?ワイ、今何にも本人である事の証明とかやってないけど!?
ばっかじゃねーの?
ということで
これは一体何なのか。シンプルにいって考えた奴はセキュリティのことを何にも分かってない。セキュリティってのは犯罪から守ると言う意味ではない。完全性・可用性についてもセキュリティだ。これはセキュリティの中に警察だけではなく、消防救急が含まれる事からも明らかだ。
しかし、こいつはセキュリティ強化といって完全性・可用性を捨てた。こんな基本的な事すら分かってないやつが楽天で意思決定してんのか?
そして、仮に乗っ取りなどの対策強化と言う点でも、実際のケースを想定して仕組みを組み立てていないので、多要素認証を真っ当にやるよりも安全性が低下している。
確かに電子メールで多要素認証は、メールは盗聴が簡単であると言う点から考えると不確実性は高い。だが、そこでSMSが使えない時に行われると想定される手続きで、SMSを強制したうえで、重大なセキュリティホールを開けてしまう理由にはならない。
例えば、登録されている電話番号から番号通知ありで電話させて認証するだとか、楽天アプリで認証させるとか、決済情報の一部を入力させるとか、eKYCやマイナカード認証を強いるとか、色々で多様な認証を用意しておき、そのうち利用できるものを複数組み合わせるとか、まともな方法はいくらでもある。
早く是正してくれ。
楽天トラベル素で間違えたわ。こうやって書くぐらい楽天経済圏に金を落としているのに、ご覧の有様や。
チャットサポートはログインしてないと利用不可だったとしても、eSIM再発行する楽天モバイルアプリとID/パスワードは共通やから何の意味もない。仮にそうでも、楽天経済圏(笑)のワイのような人間は、普段からログインしっぱなしやろうし、再認証とかなくスルーされて気付かん程度だったんだわ。
この状態でこの運用だとセキュリティー的にはザルもザルなことには変わりがない。今回はチャットサポートやったけど電話だとパスワード認証できんやろうしな。
Permalink |記事への反応(25) | 20:22
今日は病院へ行きました。お注射です。お注射をしてしばらくは精神があまり安定しないようです。被害妄想を持ったりしてしまいます。
精神というのは、変動を検出すると不快感を持つような気がします。鬱の時も一定の心持ちであればそれなりに安定しますが、いきなり躁になったりすると錯乱するのかもしれません。
そういえば、私はインターネット上に残した自分の黒歴史の削除を試みました。
統合失調症+自分の名前で検索すると、誰かが勝手に私のYoutube動画(躁状態のときのもの)の音声をテキスト化したものが置いてありましたが、どうやらそのサイトは自然言語のアノテーションのサイトらしく、編集は誰でも行えるようでした。そしてその情報に「著作権侵害です」とラベルをつけて削除してきました。
そうそう、あと黒歴史ブログも残っていました。精神を錯乱して浮世離れしていた時のブログですが、「フロントカメラが不細工でバックカメラがイケメンなのは、介入する観察者が異なるからだ!」みたいな意味不明なことを書き、セルフィーまで載せていたのです。
このブログはまだ削除できていません。というのも、Googleアカウントのパスワードを紛失したからです。
Twitterにもいくつか精神錯乱時のアカウントが残っているのですが、それらも2段階認証を設定しており、ログインできなくなっているのです。
まあ、黒歴史というのはこのようにして、精神をおかしくしている時に生成してしまうものだとわかります。
ところで、インターネットを徘徊していたら、こんな文章を見ました。
つまり「人生の意味を問うても無駄。その代わり人生があなたに問うている」というものです。
もしそれが本当ならば、精神を錯乱して残した黒歴史を正常になってから振り返り、「この黒歴史、君自身はどう感じるのか?」と問うていることになります。
まったく、人生って本当に性格が悪いですね。私が嫌な思いをしていることがわからないのでしょうか。それともその嫌な経験こそが、哲学的深淵なのでしょうか。
私はその性格上、刺激を欲しがっているのです。SNSをやるのは、誰かから刺激をもらえないかというちょっとした期待に基づいています。
でも「いいねの応酬」はしっぺ返し戦略的、機械的なものになります。私が誰かにいいねすれば、その分のいいねが返ってくるというわけです。
そんなくだらない刺激のために黒歴史を残すなんていうのは、一体どういうことなんでしょうか。
SNSの繋がりなんて、所詮は浅い繋がりです。オンラインだと、相手がリアルに存在するものだと忘れてしまう人もいるようなのです。
やはり一期一会というのは、実際にオフラインで対面で会話したことのある相手の存在に対する「出会い」に感謝するような言葉であり、私をおもちゃにしようとしているネットトロールとの出会いというのは、そこまで感謝できるようなことではないと思うのです。
インターネットで発言すれば、好感を持たれたり、恨まれたり、見下されたりします。しかもその発言が、本来の私の精神状態ではないことだってあります。
「私」というものを、他人に誤解されることの恐怖が、SNSにはあります。もはや他人の目を気にして怯える場所です。
だから私は、発言する時は匿名性を重視するのです。箴言にも、愚か者が言葉数を増やしてしまうことに対する戒めがあるので、実名で語るシーンでは黙っておいた方が賢く見えるのです。
「話すは離す」という言葉もあります。結局、ネットであれカウンセリングであれ、悩みをぶちまけられる場所があれば、精神のデトックスになります。
そうやってぶちまけた内容というのは、恥ずかしい内容なので、やはり実名と紐づいてしまうと「目」の恐怖を感じます。
まあ、浅い繋がりの人たちに「見下すな」と言うのが、そもそも無理なのかもしれません。字下げ増田を「高学歴の愚者」などといって嘲笑う人たちがいますが、彼らは人の心を尊重することを軽視し、おもちゃにしています。
確かに、愚者は他人から見下されるような行動をしてしまいます。しかし、それが人間の弱さであり、弱さをお互いに認め合えるようになれば、「お前は愚かだ」などとインテリぶらずに優しい関係になれるのではないでしょうか。
