質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.63%

二段階認証で確認コードを送信する方法としてメールはまずいのでしょうか?

受付中

回答 3

投稿

  • 評価
  • クリップ 0
  • VIEW 180

h_daido

score 808

いつもお世話になっております。

運用しているサービスに二段階認証を取り入れようと思っているのですが、確認コードを送信する方法としてよく見かけるのが、
・Authenticater系のアプリ
・SMS
・音声通話
などです。

ただ、SMSや音声通話はどうしても料金が高くなりがちで、アプリは低リテラシーのユーザーたちには使ってもらいづらいと思っています。

普通にメールアドレス宛てに送信するというのはありなのでしょうか?
あまり見かけないので、セキュリティ的に問題があるのかと思い...。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

+2

普通にメールアドレス宛てに送信するというのはありなのでしょうか?

どれだけのものを守りたいかにもよりますが、できれば別な実装をすることをおすすめします。メールだと、結局同じマシンで受信することになる事が多いので、そのマシンがマルウエアに乗っ取られた状態であれば、ワンタイムパスワードも取得できてしまうからです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+2

「どのような攻撃を想定して」「対策としてどのような認証を行うか」といった手順で要件を決めることが最初の一手かと。

すでに SMS に関しても問題視する声が上がっていますし、質問に記述された以外の生体認証等にも弱点の指摘があります。

要件によっては、2要素に拘る必要すらないです。多くしても少なくしても良いです。対策として適切なものを調査/選択してください。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/11/14 22:28

    Googleの2要素目は、「番号の出るアプリ」「物理キー」「SMS」「音声通話」「非常用のコード」など、多様なものを設定できるようになっていますね。

    (携帯電話のメールはこの12月で廃止されることとなりました)

    キャンセル

  • 2019/11/14 22:55

    携帯電話のメールというよりキャリアメールですけどね

    https://dekiru.net/article/19271/

    キャンセル

  • 2019/11/14 23:09

    GAFA の動向は、攻撃のトレンドを反映しているので参考になりますね。

    ただ、どういった要件が背景にあるのか、なかなか表に出ることがないのでもどかしいですwなんとなくの想像はできるんですけどねぇ。。。

    キャンセル

+1

二段階認証だと、メールも十分ありだと思います。

コスト(利用者の手間も含めて)をどれだけ掛けるかは、守るものがどれだけ大事かによるかと思います。

重要なものだと、二要素認証で守ったりします。
これは、
・本人の知識(ID、パスワードなど)
・本人の所有物(電話機、ワンタイムパスワード発生器、クレジットカードなど)
・本人自身の特性(生体認証など)
のうち、二種類を使って認証するものです。

電子メールだと、メールアドレスとパスワードを知っていれば受信できるので「本人の知識」でしょうか。二要素認証にしたGmail宛てだと二要素ですが、登録メールアドレスがどれくらいのセキュリティかは知るのが難しいので、「本人の知識」とするのが妥当だと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.63%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る