パスワードを忘れた? アカウント作成
16506989 story
Twitter

Twitter、無料ユーザー向けのSMS経由の2要素認証を19日に終了 44

ストーリー by nagazou
また変更 部門より
Twitterは無料ユーザー向けの「2要素認証(2FA)」を3月19日に終了すると発表した。Twitterでは、SMSと認証アプリ(Google Authenticatorなど)、セキュリティキーの三つの手段の2段階認証を提供してきた。しかし、今後は無料ユーザーにSMSでの二要素認証をできなくする。無料ユーザーでSMS方式の2FAが有効になっている場合、自動的に2FAが無効になるとしている。なお認証アプリ(iOS AutoFill、Google Authenticator、Authy、Duo Mobile、1Passwordなど)とセキュリティキーを使用すれば2FA自体は使用できる(TwitterブログImpress WatchGIGAZINE)。

同社は、月額980円の有料サービスであるTwitter Blueに加入していない場合は、上記の認証アプリやセキュリティキー方式で2要素認証を行なうよう呼びかけている。終了の理由に関しては「電話番号ベースの2段階認証が悪用されるのを見てきた」ためだとしている。Twitter Blueの契約者は引き続き利用できるとしているものの、使えるかは「国や通信キャリアによって異なる」としている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by LEDMirage (6050) on 2023年02月20日 12時46分 (#4414156)

    登録している電話番号にSMSメッセージが送信されてこないので、実質的にSMSでの2段階認証は終了しているような気がする。
    #もしかして自分だけ?

  • by Anonymous Coward on 2023年02月20日 12時58分 (#4414161)

    SMS送信費用を抑えたくなっただけでしょ

    • by Anonymous Coward on 2023年02月20日 13時45分 (#4414203)

      Twitter社は、SMSを使った2FAが悪用されているからと説明して批判を回避しようとしているものの、課金ユーザーには提供を続けることから、その理由が嘘だとバレた。

      正直に言えばいいのにね。
      経営悪化でコストを少しでも下げたいから、本当は必要な機能だけど無料ユーザーには使わせたくないって。

      いっそのこと、経費を削減したいから新規投稿と閲覧ができないようにするのはどうだろうか。

      親コメント
      • by Anonymous Coward

        有料ユーザーなら課金情報って両者で共有出来るものがあるから
        アカウント復旧を比較的容易に手助け出来る
        金払ってくれてるからそれくらいやってやるよ
        程度の感覚だと思うけどなぁ

        • by Anonymous Coward

          「課金情報であなたが所有者か確認しますので、クレジットカード情報を読み上げてください」
          とか言うんだろうか。

    • by Anonymous Coward on 2023年02月20日 13時48分 (#4414205)

      API有料化が失敗して社長がイラ付いてるから代わりの「収益性改善策」を無理に押してきたのかも

      親コメント
      • by Anonymous Coward

        「中止と延期になっただけだ! 失敗などしていない!」
        って言ってあげなきゃダブスタ野郎だぞ

    • by Anonymous Coward on 2023年02月20日 13時55分 (#4414208)

      建前だとしても、もはやSMSで2FAを実装してはいけないというのは常識だよ

      親コメント
    • 有料会員になるとセキュリティレベルの低い機能をあえて使えるようになる。最高だぜ。
      これが三要素になるとかならマシだが。

      親コメント
    • by Anonymous Coward

      自動的に2FAが外れるのはヤバい気がする。
      アカウント連携してるサービスが悪用されたとかで訴訟沙汰になったりして。

      • by Anonymous Coward

        ほとんどいないだろうけど、別の2FAに変更できない理由のあるユーザーは、アプリ連携を全部解除したうえで、できればコンテンツを全部削除し、パスワードを自分でも覚えきれないメチャメチャなのにしてからサインアウト、おさらばしたほうがいいね。

        実はリスト攻撃で乗っ取られる状況なのにSMSを有効にしていて助かってるユーザーは、自動的にSMSが解除になったとたんにアカウント盗られる。
        連携アプリがあれば、そっちも危険。

        アカウント削除でもいいじゃん、と思うかもしれないけれど、SNSで使ってたアカウントは基本的には消さないほうがいい。
        サービスによっては同じアカウントが再取得されてしまう可能性があるから。

        同じアカウントが取得されて、成りすましされたらたまったもんじゃない。

    • by Anonymous Coward

      ここで言う悪用というのは、無駄にSMSの2FAを繰り返す奴がいて
      Twitterのコストに負担をかけた奴がいたという意味かもしれない。

      • by Anonymous Coward

        そういう悪用はシステム側で対処できるものなので、それを理由に無料ユーザー全員から機能を削除するという処置の説明としては無理がある。
        お金を払ってもらいたいということだろうな。

        ただ、一般的には無料ユーザーからお金を取りたいなら、無料ユーザーには無い付加価値を付けて有料契約を誘引するものなので、Twitterのように機能を削減して悪化させることでお金を払うように仕向けるのは珍しい。
        これはTwitter社に、そういう付加価値を新たに生み出す能力がなくなったということを意味してる。

        ちなみにMicrosoftのTeamsも無料ユーザーからは大幅に機能を削減する計画があるらしいけれど、Teamsの場合は機能が多彩すぎて付加価値を付けようにも限界だからだね。

        • by Anonymous Coward

          なにそのダブルスタンダード

          • by Anonymous Coward

            どの辺がダブスタ?

            Teamsはただでさえ機能が多すぎだとユーザーから言われるくらい。
            Twitterの2FAは最低限この設定はしておかないと危ないと言われている必須機能。

            不要な機能を削除するTeamsと、必要な機能を削除するTwitterの差は大きい。

            回避策はあるわけだから別に構わないけど。

            ガラケー使ってるユーザーがまだいたら困るかもね。

            • by Anonymous Coward

              不要だと判断して機能削ったらユーザーからクレーム殺到MSはもちろんなんてどこにでもある話。
              不要/必要はユーザーによって大きく違うから、Teamsの機能削除はまっとうなものだと今の時点で決めつける根拠はない。
              そして別ツリーでも指摘があるようにSMSによる2FAは問題あり。それを2FAそのものをなくすかのように語ってるのもデタラメ。

      • どこかの電話会社がbotアカウント大量に作って、2FAでSMSメッセージを送り、料金をせしめていたからと説明しているようだ。
        まーしょうがないんじゃないのかな。

        逆SMSにすればいいんじゃないかなと思う。
        表示されたコードを登録済みの携帯番号からSMSでツイッター社に送信すればログインできるように。

  • by Anonymous Coward on 2023年02月20日 14時13分 (#4414221)

    SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案 2016年
    https://security.srad.jp/story/16/07/26/0920203/ [security.srad.jp]

    • by Anonymous Coward

      これ読んでみても二要素認証としてSMSが危険の理由がよくわからん。
      デバイスのロックを解除しなくても読み取れる、というのはあるけど、SMSは所有認証を担っているものだから直接は関係ないだろうし。

      ほかのページをみてみるとSMSを直接盗み見することできるみたいだけど、日本でも実際に起こっているの?
      海外なんかだとインターネット経由でSMSを見ることができて問題になる場合もあるみたいだけど。

  • by Anonymous Coward on 2023年02月20日 13時22分 (#4414187)

    2要素認証終了くらって、認証アプリに切り替えようとしたけどうまくいかない
    そのまま放置してたら早速ワシントン方面からアカウントへのアクセスアラートが
    とりあえずパスワード変更

    • by Anonymous Coward on 2023年02月20日 13時57分 (#4414211)

      認証アプリ登録した覚えなかったけど有効になってた。
      ずいぶん昔に登録していたのかもしれない。

      で、新たに設定したくても設定の変更ができないので、一度無効化してから有効化したら登録のQRコードが出たよ。
      QRコードを認証アプリのカメラで読み取ったら完了。

      スマホを失くすと面倒なことになりそうだけど。

      親コメント
  • by Anonymous Coward on 2023年02月20日 15時22分 (#4414277)

    SMS 認証は確かにここのところ危ないと言われていて実被害も出ているので廃止するのはわかるのだけど、
    それならなぜ Twitter Blue ユーザーだけ残すのかが理解できん。

    • by Anonymous Coward

      認証アプリを使いきれないユーザーはバカにできないくらい大勢いるので、お金を払って使い続けるか、ただのパスワード認証になってしまってアカウント乗っ取られるユーザーが大量に出ると思う。

      ツイッターってアカウント乗っ取られたから作り直したって話をよく聞くけど、乗っ取られた人たちって認証はどうしてたんだろうね。

    • by Anonymous Coward

      まあやっぱりSMS送信費用を抑えたいってのが一番の理由なんだろうね
      有料のTwitter Blueユーザーは対価を払ってるので使わせてやるぞと
      悪用防止なんて本当はどうでもいいんだよ彼らにとっては

      • by Anonymous Coward

        家賃未払とか報じられちゃう会社ですから。

  • by Anonymous Coward on 2023年02月21日 6時02分 (#4414613)

    んで、結局、電話番号消してもいいようになったの?
    仮BANでもされるとうっとおしいので、渋々残してるんだが

    • by Anonymous Coward

      電話で広告を聞かせるシステムで使うのに番号消されたら困るのでダメです

    • by Anonymous Coward

      電話番号無しで登録してそこそこ安定運用できてる(そろそろ1年で万単位の投稿)んで
      消せるのだったら消してもいいんじゃないか?
      携帯電話は所有・使用してないんで登録できるわけも無かったんだけど
      登録した場合に消せるのかどうかまでは知らない。

  • by Anonymous Coward on 2023年02月21日 11時57分 (#4414759)

    2要素認証のショートメールを要求しまくるボットのせいでTwitterは年間80億円も失っていた [gigazine.net]

    botにSMSを使わせて金を稼ぐ悪質な通信事業者が要るせいで、年間80億円もコストが掛かってたとか。
    最初なんで?と思ってたが、それはまあ廃止せざるを得ないよね…。

    • by Anonymous Coward

      BOTの仕掛けがSMS費用をTwitterに請求する当の通信業者だった、ってオチか。
      確かにそりゃ仕掛ける同機もあればブロックするのも解らんでも無いね。

typodupeerror

人生unstable -- あるハッカー

読み込み中...