パスワードを忘れた? アカウント作成
14069620 story
Mozilla

Mozilla、拡張機能開発者に二段階認証の有効化を義務付けへ 15

ストーリー by headless
義務 部門より
Mozillaは9日、2020年初めからaddons.mozilla.org(AMO)で拡張機能開発者に二段階認証(2FA)の有効化を義務付けることを発表した(Mozilla Add-ons Blogの記事gHacksの記事)。

2FA義務付けは開発者アカウントの乗っ取りを防ぐのが目的で、AMOのアップロードAPIを使用した送信については2FA義務付けの対象外になる。義務付けの開始前にアドオンチームはFirefox Accountsチームと協力して2FAのセットアップとログインがなるべく円滑にできるよう調整を行う。義務付け開始後は、開発者がアドオンを変更しようとする際に2FAの有効化が要求されるとのこと。なお、義務付けとは別に2FAの有効化は強く推奨されている。

2FAの有効化が完了したら、忘れずにリカバリーコードをダウンロードして印刷し、安全な場所に保存しておくことが推奨されている。2FAデバイスが利用できなくなり、コードを紛失した場合はアカウントに二度とアクセスできなくなる可能性があるとのことだ。
  • by Anonymous Coward on 2019年12月15日 16時38分 (#3731897)

    まじうざい
    希望者だけにしとけ

    # 銀行に登録してる電話番号を変更しにWebサイトいったらSMSによる二段階認証求められたAC
    # どないせえっていうんだ?
    # 仕方なく窓口行ったわ

    ここに返信
    • by Anonymous Coward

      Lモードがぽしゃったのだから仕方ない。

  • by Anonymous Coward on 2019年12月15日 12時40分 (#3731842)

    二段階認証の略語として2FA (Two-factor Authentication)を使うのはちょっと。
    この2つの違いってあまり認識されていないのかな (参考) [togetter.com]

    さすがに、Mozilla のページでは二段階認証に対して2FAという略語は使っていませんが。

    ここに返信
    • 確かにストーリーの書き方に違和感はありますが、そもそもMozillaが2つを区別していませんね。

      ソースとなっているMozilla Add-ons Blogの記事では"two-factor authentication"(2要素認証)と書かれていますが、記事内リンク先のサポートページ [mozilla.org]では"two-step authentication"(2段階認証)と書かれています。

      • by Anonymous Coward

        まあ、そうですね。

        ただ、それぞれのページはどちからの用語しか使っていないこと、また今回の方式だと
        二要素認証・二段階認証どちらも正しいので、Mozilla側の認識は間違ってはいないと思います。

        しかし、二段階認証に対する略語として2FAを使うのは明らかに誤りです。

    • by Anonymous Coward

      そうなのか。
      二要素無くても二段階あれば「二段階認証」と言ってゴリ押せるという認識が無かったわ正直。

  • by Anonymous Coward on 2019年12月15日 12時46分 (#3731845)

    https://github.com/winauth/winauth/releases [github.com] を使ってます。

    ここに返信
  • 二段階認証が必要になる最大の原因は、
    ログインID メールアドレス
    パスワード ユーザーが指定した文字列
    となってしまうこと
    多くのユーザーが、よくあるパスワードや、他のサイトと共通のパスワードを使ってる
    なのでリスト攻撃やら、他から漏れたアカウント情報でログインが簡単に成り立つ

    ログインID メールアドレス
    パスワード1 ユーザーが指定した文字列
    パスワード2 サーバが付与したランダム文字列

    みたいに、サーバ指定文字を入れればいい

    ここに返信
    • by Anonymous Coward

      二段階認証と二要素認証は、横方向に認証方式が広がる=スケールアウトしてるから安全。
      パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。
      フィッシングやられたら一発アウト。
      やりなおし。

      • サーバが付与したランダムパスワードを使うのは二段階認証の実装のひとつといってよいでしょう。Firefoxアカウントの二段階認証はTOTP対応アプリによるランダムPIN入力のようですから、専用アプリを必要としない点でサーバが付与したランダム文字列は便利ですが、対象が拡張機能開発者ということを考えると特に優位点は思い当たりませんでした。

        なお、二段階認証あるいは二要素認証はリスト型攻撃に有効な対策であり、どちらにしろプロキシ型のフィッシング詐欺は防げません。ちょうど昨日も新聞記事になっていましたね。

        ネットバンクの不正送金被害が急増 「フィッシング」組み合わせた新しい手口目立つ - 毎日新聞 [mainichi.jp]

        新しい手口はまず、メールやSMSでフィッシングサイトに誘導し、利用者が入力したIDやパスワードを使って本物のサイトにログインする。すると、金融機関から利用者に認証用の番号が記されたSMSが届くので、その番号を偽サイトに入力させて盗み、不正送金する。

      • by Anonymous Coward

        勝手に補足しておくと、よくあるスマホアプリを使ったMFAは
        > パスワード2 サーバが付与したランダム文字列
        に時刻を加えてハッシュを取って生成した数列を認証に使っている(RFC6238)。
        これの利点は以下の通り。
        ・入力が簡単になること
        ・フィッシングに引っかかっても「サーバが付与したランダム文字列」そのものが推測不可能になること
        ・したがってリプレイ攻撃に対して強いこと

      • by Anonymous Coward

        > パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。
        リスト型攻撃やブルートフォース攻撃を防げるので、「セキュリティは上がってない」は大嘘。
        そもそも、攻撃の大半はリスト型で、フィッシングを遥かに上回るリスクです。

        > フィッシングやられたら一発アウト。
        それは、OTPも同じ。

        スマホアプリのタイムベースのワンタイムパスワード生成(Google 認証システム)は、
        シークレットキーと時刻を基にワンタイムパスワードを生成する仕組みであって、
        そのもととなるシークレットキーはスマホのアプリ領域に保存されてます。
        root化すればシークレット

      • by Anonymous Coward

        言ってることは正しいが一点だけ間違ってる
        フィッシングに引っかかったらアウトなのは二段階認証も同じ

  • 今年8月にRubyの著名なgemが侵害を受けた ( https://github.com/rest-client/rest-client/issues/713 [github.com] )し、
    それ以前にも各種ライブラリを侵害されるという事案が起きている。

    ブラウザの拡張機能の場合対象のサイトによっては致命的 (e.g. ネットバンクの認証情報とか) な被害を受けうる訳だし、
    2FAは正直開発者に面倒だとしても、どこかに穴があれば同じ原因で侵害がくり返されかねないわけで、AMO全体の対策として
    実施した点は評価できると思う。

    ここに返信
  • by Anonymous Coward on 2019年12月15日 22時25分 (#3731987)

    最近FirefoxもThunderbirdも起動しなくなった
    両方ともVer.68.3.0に更新したからか?

    ここに返信
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...