パスワードを忘れた? アカウント作成
15337924 story
Twitter

Twitter、セキュリティキーだけで 2 要素認証を利用可能に 17

ストーリー by headless
独立 部門より
Twitter は 6 月 30 日、セキュリティキーのみで 2 要素認証 (2FA) が利用可能になったと発表した( Twitter のブログ記事)。

以前は Web 版でのみ 2FAに利用可能だったセキュリティキーだが、昨年 12 月には Android/iOS アプリでもセキュリティキーを 2FA に利用できるようになっている。今年 3 月には複数のセキュリティキーが登録可能になり、複数人で管理するアカウントでの 2FA 利用が容易になった。

今回、セキュリティキーを唯一の 2FA 手段として使用することが可能になり、バックアップの 2FA 手段を登録する必要がなくなる。セキュリティキーによる 2FA を設定すれば、携帯電話番号の登録も不要になる。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年07月03日 18時55分 (#4062927)

    ぐぐったら分かったけどTwitterのブログ見ても何なんだかさっぱりだった。
    ハードウエアキーとなるUSBドングルがあるのね。
    https://japan.cnet.com/article/35167850/ [cnet.com]

    #パスワードのみの一段階認証でTwitter使ってる身としては異世界感が大きい

    • by Anonymous Coward on 2021年07月03日 19時27分 (#4062941)

      ブログの方にはFIDOとWebAuthnというキーワードがあるけど、twitter.comの2要素認証設定画面ではどういった規格に準拠しているのか明記されておらず、

      • テキストメッセージ→SMS
      • 認証アプリ→TOTP認証アプリ
      • セキュリティキー→FIDO準拠セキュリティキー

      と自分で読み替えなきゃいけない。Twitterは万事がこんな感じで理解できないことが多々ある。
      例えばマウスコンピューターのWindows Hello対応指紋認証リーダー「FP01」は利用できない。
      ところがWindows Hello対応でFIDO対応を謳ってなくてもTwitter対応を謳っている指紋認証リーダー [amazon.co.jp]などもあり意味不明。

      親コメント
      • by Anonymous Coward

        たぶんこれFIDO2やUAF対応は必要なくてU2Fにさえ対応していればセキュリティキーとして利用できるんじゃないかな

        • by Anonymous Coward

          手持ちのU2Fのキーで登録可能だった。
          ※FIDOキー、うちに8本ぐらいあるw

  • by Anonymous Coward on 2021年07月03日 21時25分 (#4063007)

    Google認証アプリ2台にインスコしてりゃいいじゃん
    強垢、営業垢とか乗っ取られたらダメージ大きい場合ぜひ設定しとくべき

    • by Anonymous Coward

      GoogleとMicrosoftのを1台に入れるのでは駄目なん?

  • 純粋な疑問なんだけど、スマホとセキュリティキーを両方持ち歩いてるの?
    セキュリティキーを無くしたら、(家に予備があるとしても)外出先ではログインできなくなるの?
    てか、Twitterとかのスマホアプリなんかは一度ログインしたら、だいたいログインしっぱなしじゃないの?
    ログインしっぱなしでセキュリティキーを滅多に使わないってなったら、どこにしまったかわからない、無くなってることに気づかないってならないの?

    • by Anonymous Coward

      一応、スマホもセキュリティキーも持ち歩いてますが、どちらかなくしても大丈夫なヌルイ運用してます。
      ※セキュリティキーは「鍵束」にまとめてます。

  • by Anonymous Coward on 2021年07月04日 2時57分 (#4063127)

    ユーザーがパスワードを指定する方式なので、複数のサイトでパスワード使いまわしが問題になる
    サーバ側がパスワードを指定する方式、もしくはユーザー指定パスワードとサーバ指定パスワードの2つで認証する方式なら、
    2段階認証しなくても不正利用リスクは少ない

    サーバは、ランダム生成したパスワードを、一定のエントロピーチェックおよび辞書チェックを行い、
    問題ないものをユーザーに付与する

    • その結果「パスワード付箋」が横行するわけですね?

      自分で決めた文字列なら20桁くらい平気だけど、ランダム(?)な文字列は10桁でもきついかなぁ。

      親コメント
      • by Anonymous Coward

        マイナンバーカードをパスワードの代わりに使えたらいいのにね
        マイナンバーを使うのではなく、マイナンバーとは関係なく、物理キーとして使える別の機能を一緒に入れる

        • by Anonymous Coward

          クライアント証明書入ってれば十分では
          いろんな所に使うと更新手続きが煩雑そうだけど

          CRLで次の証明書はこれです、ってのも配りたい。

        • by Anonymous Coward

          マイキーIDというのが実装されている

    • by Anonymous Coward

      同じ人かは知りませんが、定期的にこの手の主張が出てはツッコミを受けてますね
      https://srad.jp/comment/3751785 [srad.jp]

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...