Twitter、セキュリティキーだけで 2 要素認証を利用可能に 17
ストーリー by headless
独立 部門より
独立 部門より
Twitter は 6 月 30 日、セキュリティキーのみで 2 要素認証 (2FA) が利用可能になったと発表した( Twitter のブログ記事)。
以前は Web 版でのみ 2FAに利用可能だったセキュリティキーだが、昨年 12 月には Android/iOS アプリでもセキュリティキーを 2FA に利用できるようになっている。今年 3 月には複数のセキュリティキーが登録可能になり、複数人で管理するアカウントでの 2FA 利用が容易になった。
今回、セキュリティキーを唯一の 2FA 手段として使用することが可能になり、バックアップの 2FA 手段を登録する必要がなくなる。セキュリティキーによる 2FA を設定すれば、携帯電話番号の登録も不要になる。
以前は Web 版でのみ 2FAに利用可能だったセキュリティキーだが、昨年 12 月には Android/iOS アプリでもセキュリティキーを 2FA に利用できるようになっている。今年 3 月には複数のセキュリティキーが登録可能になり、複数人で管理するアカウントでの 2FA 利用が容易になった。
今回、セキュリティキーを唯一の 2FA 手段として使用することが可能になり、バックアップの 2FA 手段を登録する必要がなくなる。セキュリティキーによる 2FA を設定すれば、携帯電話番号の登録も不要になる。
セキュリティキーって何ぞ? (スコア:3, 参考になる)
ぐぐったら分かったけどTwitterのブログ見ても何なんだかさっぱりだった。
ハードウエアキーとなるUSBドングルがあるのね。
https://japan.cnet.com/article/35167850/ [cnet.com]
#パスワードのみの一段階認証でTwitter使ってる身としては異世界感が大きい
Re:セキュリティキーって何ぞ? (スコア:2, 参考になる)
ブログの方にはFIDOとWebAuthnというキーワードがあるけど、twitter.comの2要素認証設定画面ではどういった規格に準拠しているのか明記されておらず、
と自分で読み替えなきゃいけない。Twitterは万事がこんな感じで理解できないことが多々ある。
例えばマウスコンピューターのWindows Hello対応指紋認証リーダー「FP01」は利用できない。
ところがWindows Hello対応でFIDO対応を謳ってなくてもTwitter対応を謳っている指紋認証リーダー [amazon.co.jp]などもあり意味不明。
Re: (スコア:0)
たぶんこれFIDO2やUAF対応は必要なくてU2Fにさえ対応していればセキュリティキーとして利用できるんじゃないかな
あたり (スコア:0)
手持ちのU2Fのキーで登録可能だった。
※FIDOキー、うちに8本ぐらいあるw
別に... (スコア:0)
Google認証アプリ2台にインスコしてりゃいいじゃん
強垢、営業垢とか乗っ取られたらダメージ大きい場合ぜひ設定しとくべき
Re: (スコア:0)
GoogleとMicrosoftのを1台に入れるのでは駄目なん?
Re: (スコア:0)
グンマーなら可能
スマホでハードウェアセキュリティキー使ってる人いる? (スコア:0)
純粋な疑問なんだけど、スマホとセキュリティキーを両方持ち歩いてるの?
セキュリティキーを無くしたら、(家に予備があるとしても)外出先ではログインできなくなるの?
てか、Twitterとかのスマホアプリなんかは一度ログインしたら、だいたいログインしっぱなしじゃないの?
ログインしっぱなしでセキュリティキーを滅多に使わないってなったら、どこにしまったかわからない、無くなってることに気づかないってならないの?
Re: (スコア:0)
一応、スマホもセキュリティキーも持ち歩いてますが、どちらかなくしても大丈夫なヌルイ運用してます。
※セキュリティキーは「鍵束」にまとめてます。
サーバ指定パスワードを導入しろ (スコア:0)
ユーザーがパスワードを指定する方式なので、複数のサイトでパスワード使いまわしが問題になる
サーバ側がパスワードを指定する方式、もしくはユーザー指定パスワードとサーバ指定パスワードの2つで認証する方式なら、
2段階認証しなくても不正利用リスクは少ない
サーバは、ランダム生成したパスワードを、一定のエントロピーチェックおよび辞書チェックを行い、
問題ないものをユーザーに付与する
Re:サーバ指定パスワードを導入しろ (スコア:1)
その結果「パスワード付箋」が横行するわけですね?
自分で決めた文字列なら20桁くらい平気だけど、ランダム(?)な文字列は10桁でもきついかなぁ。
Re: (スコア:0)
マイナンバーカードをパスワードの代わりに使えたらいいのにね
マイナンバーを使うのではなく、マイナンバーとは関係なく、物理キーとして使える別の機能を一緒に入れる
Re: (スコア:0)
クライアント証明書入ってれば十分では
いろんな所に使うと更新手続きが煩雑そうだけど
CRLで次の証明書はこれです、ってのも配りたい。
Re: (スコア:0)
マイキーIDというのが実装されている
Re: (スコア:0)
同じ人かは知りませんが、定期的にこの手の主張が出てはツッコミを受けてますね
https://srad.jp/comment/3751785 [srad.jp]
Re:バックアップ不要とはなにごと (スコア:1)
誰もバックアップ不要だなんて言ってねーよ、バックアップの2要素認証の登録が不要だつってんの
ちなみにこれ編集者の主張じゃなくてソースのTwitter公式ブログに書いてあることだからな
セキュリティーキーを紛失したら2要素認証登録時に発行されるバックアップコードを使えよ
https://help.twitter.com/ja/managing-your-account/issues-with-login-au... [twitter.com]