Twitter、セキュリティキーだけで 2 要素認証を利用可能に

Twitter、セキュリティキーだけで 2 要素認証を利用可能に 17

ストーリー by headless 2021年07月03日 17時18分
独立部門より

Twitter は 6 月 30 日、セキュリティキーのみで 2 要素認証 (2FA) が利用可能になったと発表した( Twitter のブログ記事)。

以前は Web 版でのみ 2FAに利用可能だったセキュリティキーだが、昨年 12 月には Android/iOS アプリでもセキュリティキーを 2FA に利用できるようになっている。今年 3 月には複数のセキュリティキーが登録可能になり、複数人で管理するアカウントでの 2FA 利用が容易になった。

今回、セキュリティキーを唯一の 2FA 手段として使用することが可能になり、バックアップの 2FA 手段を登録する必要がなくなる。セキュリティキーによる 2FA を設定すれば、携帯電話番号の登録も不要になる。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索17コメント Log In/Create an Account

セキュリティキーって何ぞ？ (スコア:3, 参考になる)

by Anonymous Coward on 2021年07月03日 18時55分 (#4062927)

ぐぐったら分かったけどTwitterのブログ見ても何なんだかさっぱりだった。
ハードウエアキーとなるUSBドングルがあるのね。
https://japan.cnet.com/article/35167850/ [cnet.com]
＃パスワードのみの一段階認証でTwitter使ってる身としては異世界感が大きい
- Re:セキュリティキーって何ぞ？ (スコア:2, 参考になる)
  
  by Anonymous Coward on 2021年07月03日 19時27分 (#4062941)
  ブログの方にはFIDOとWebAuthnというキーワードがあるけど、twitter.comの2要素認証設定画面ではどういった規格に準拠しているのか明記されておらず、
  テキストメッセージ→SMS
  認証アプリ→TOTP認証アプリ
  セキュリティキー→FIDO準拠セキュリティキー
  と自分で読み替えなきゃいけない。Twitterは万事がこんな感じで理解できないことが多々ある。
  例えばマウスコンピューターのWindows Hello対応指紋認証リーダー「FP01」は利用できない。
  ところがWindows Hello対応でFIDO対応を謳ってなくてもTwitter対応を謳っている指紋認証リーダー [amazon.co.jp]などもあり意味不明。
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    たぶんこれFIDO2やUAF対応は必要なくてU2Fにさえ対応していればセキュリティキーとして利用できるんじゃないかな
    - あたり (スコア:0)
      
      by Anonymous Coward
      
      手持ちのU2Fのキーで登録可能だった。
      ※FIDOキー、うちに8本ぐらいあるｗ
別に... (スコア:0)

by Anonymous Coward on 2021年07月03日 21時25分 (#4063007)

Google認証アプリ2台にインスコしてりゃいいじゃん
強垢、営業垢とか乗っ取られたらダメージ大きい場合ぜひ設定しとくべき
- Re: (スコア:0)
  
  by Anonymous Coward
  
  GoogleとMicrosoftのを1台に入れるのでは駄目なん？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    グンマーなら可能
スマホでハードウェアセキュリティキー使ってる人いる？ (スコア:0)

by Anonymous Coward on 2021年07月03日 23時26分 (#4063072)

純粋な疑問なんだけど、スマホとセキュリティキーを両方持ち歩いてるの？
セキュリティキーを無くしたら、(家に予備があるとしても)外出先ではログインできなくなるの？
てか、Twitterとかのスマホアプリなんかは一度ログインしたら、だいたいログインしっぱなしじゃないの？
ログインしっぱなしでセキュリティキーを滅多に使わないってなったら、どこにしまったかわからない、無くなってることに気づかないってならないの？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  一応、スマホもセキュリティキーも持ち歩いてますが、どちらかなくしても大丈夫なヌルイ運用してます。
  ※セキュリティキーは「鍵束」にまとめてます。
サーバ指定パスワードを導入しろ (スコア:0)

by Anonymous Coward on 2021年07月04日 2時57分 (#4063127)

ユーザーがパスワードを指定する方式なので、複数のサイトでパスワード使いまわしが問題になる
サーバ側がパスワードを指定する方式、もしくはユーザー指定パスワードとサーバ指定パスワードの２つで認証する方式なら、
2段階認証しなくても不正利用リスクは少ない
サーバは、ランダム生成したパスワードを、一定のエントロピーチェックおよび辞書チェックを行い、
問題ないものをユーザーに付与する
- Re:サーバ指定パスワードを導入しろ (スコア:1)
  
  by Landie(GRG) (6950) on 2021年07月04日 6時23分 (#4063146) ホームページ
  
  その結果「パスワード付箋」が横行するわけですね？
  自分で決めた文字列なら20桁くらい平気だけど、ランダム(?)な文字列は10桁でもきついかなぁ。
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    マイナンバーカードをパスワードの代わりに使えたらいいのにね
    マイナンバーを使うのではなく、マイナンバーとは関係なく、物理キーとして使える別の機能を一緒に入れる
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      クライアント証明書入ってれば十分では
      いろんな所に使うと更新手続きが煩雑そうだけど
      CRLで次の証明書はこれです、ってのも配りたい。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      マイキーIDというのが実装されている
- Re: (スコア:0)
  
  by Anonymous Coward
  
  同じ人かは知りませんが、定期的にこの手の主張が出てはツッコミを受けてますね
  https://srad.jp/comment/3751785 [srad.jp]
- Re:バックアップ不要とはなにごと (スコア:1)
  
  by Anonymous Coward on 2021年07月04日 20時11分 (#4063388)
  
  誰もバックアップ不要だなんて言ってねーよ、バックアップの2要素認証の登録が不要だつってんの
  ちなみにこれ編集者の主張じゃなくてソースのTwitter公式ブログに書いてあることだからな
  セキュリティーキーを紛失したら2要素認証登録時に発行されるバックアップコードを使えよ
  https://help.twitter.com/ja/managing-your-account/issues-with-login-au... [twitter.com]
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Twitter、セキュリティキーだけで 2 要素認証を利用可能に 17

Twitter、セキュリティキーだけで 2 要素認証を利用可能に More ログイン

セキュリティキーって何ぞ？ (スコア:3, 参考になる)

Re:セキュリティキーって何ぞ？ (スコア:2, 参考になる)

Re: (スコア:0)

あたり (スコア:0)

別に... (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スマホでハードウェアセキュリティキー使ってる人いる？ (スコア:0)

Re: (スコア:0)

サーバ指定パスワードを導入しろ (スコア:0)

Re:サーバ指定パスワードを導入しろ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:バックアップ不要とはなにごと (スコア:1)

スラド