Twitter、無料ユーザー向けのSMS経由の2要素認証を19日に終了 44
ストーリー by nagazou
また変更 部門より
また変更 部門より
Twitterは無料ユーザー向けの「2要素認証(2FA)」を3月19日に終了すると発表した。Twitterでは、SMSと認証アプリ(Google Authenticatorなど)、セキュリティキーの三つの手段の2段階認証を提供してきた。しかし、今後は無料ユーザーにSMSでの二要素認証をできなくする。無料ユーザーでSMS方式の2FAが有効になっている場合、自動的に2FAが無効になるとしている。なお認証アプリ(iOS AutoFill、Google Authenticator、Authy、Duo Mobile、1Passwordなど)とセキュリティキーを使用すれば2FA自体は使用できる(Twitterブログ、Impress Watch、GIGAZINE)。
同社は、月額980円の有料サービスであるTwitter Blueに加入していない場合は、上記の認証アプリやセキュリティキー方式で2要素認証を行なうよう呼びかけている。終了の理由に関しては「電話番号ベースの2段階認証が悪用されるのを見てきた」ためだとしている。Twitter Blueの契約者は引き続き利用できるとしているものの、使えるかは「国や通信キャリアによって異なる」としている。
同社は、月額980円の有料サービスであるTwitter Blueに加入していない場合は、上記の認証アプリやセキュリティキー方式で2要素認証を行なうよう呼びかけている。終了の理由に関しては「電話番号ベースの2段階認証が悪用されるのを見てきた」ためだとしている。Twitter Blueの契約者は引き続き利用できるとしているものの、使えるかは「国や通信キャリアによって異なる」としている。
もうすでに (スコア:1)
登録している電話番号にSMSメッセージが送信されてこないので、実質的にSMSでの2段階認証は終了しているような気がする。
#もしかして自分だけ?
どう考えても建前 (スコア:1)
SMS送信費用を抑えたくなっただけでしょ
Re:どう考えても建前 (スコア:1)
Twitter社は、SMSを使った2FAが悪用されているからと説明して批判を回避しようとしているものの、課金ユーザーには提供を続けることから、その理由が嘘だとバレた。
正直に言えばいいのにね。
経営悪化でコストを少しでも下げたいから、本当は必要な機能だけど無料ユーザーには使わせたくないって。
いっそのこと、経費を削減したいから新規投稿と閲覧ができないようにするのはどうだろうか。
Re: (スコア:0)
有料ユーザーなら課金情報って両者で共有出来るものがあるから
アカウント復旧を比較的容易に手助け出来る
金払ってくれてるからそれくらいやってやるよ
程度の感覚だと思うけどなぁ
Re: (スコア:0)
「課金情報であなたが所有者か確認しますので、クレジットカード情報を読み上げてください」
とか言うんだろうか。
Re:どう考えても建前 (スコア:1)
API有料化が失敗して社長がイラ付いてるから代わりの「収益性改善策」を無理に押してきたのかも
Re: (スコア:0)
「中止と延期になっただけだ! 失敗などしていない!」
って言ってあげなきゃダブスタ野郎だぞ
Re:どう考えても建前 (スコア:1)
建前だとしても、もはやSMSで2FAを実装してはいけないというのは常識だよ
Re: (スコア:0)
TOTPを廃止してSMSのみの1FAに移行 [yahoo.co.jp]した日本企業がありますね
Re: (スコア:0)
TOTP、難しすぎだからなあ(ここを見てる人たちの基準ではないよ)。自分の親に電話でTOTPをセットアップする手順(機種変更する時の注意点も)を伝えるのを想像すれば分かる。日本企業だと、その辺までサポートするのが求められるわけで。
Re:どう考えても建前 (スコア:1)
だからTOTPを使えないバカの介護料を本人に払わせるんだろ。実に合理的ではないか。
Re: (スコア:0)
もうここの古参はいい加減自分が親の年齢だろうにどうしていつまでも「自分の親に…」という想定なのだろう。
# それはもちろん子供などいるわk
Re: (スコア:0)
親が存命ならある意味当然の感覚では?
#「いくつになっても子どもは子ども」の逆バージョン
Re: (スコア:0)
SNSとSMSの区別ついてる?
Re: (スコア:0)
すみませんSMSとSNSを見間違えました
ところでどうしてSMSで2FAを実装してはいけないんでしょうか
Re:どう考えても建前 (スコア:2, 参考になる)
日本ではまだあまり起こっていないので安全に見えるんだけど、SIMはあっさりハイジャックされる場合がある。
https://ja.wikipedia.org/wiki/SIM%E3%82%B9%E3%83%AF%E3%83%83%E3%83%97%... [wikipedia.org]
SIMスワップ詐欺、日本でも広がる
https://security.srad.jp/story/22/12/19/1337244/ [security.srad.jp]
Re: (スコア:0)
SIMを盗まれる手口まで心配するくらいなら、認証アプリも危ないよね。
Twitterで認証アプリ乗っ取るの一瞬だよ。
Twitterにログインした状態のPCやスマホを置いて離席は絶対ダメって感じ。
Re: (スコア:0)
おまえは何を言ってるんだ。もしかしてSIMが物理的に盗まれる話をしてるのか?
素人が首突っ込んでも恥かくだけだから黙っといた方がいいぞ。
Re: (スコア:0)
お前こそ何を言ってるんだ。
物理SIM奪わずに使用権を別のSIMに移す手口だぞ。
Re: (スコア:0)
#4414350も物理的にSIMを盗まれる話ではないと言ってるのが理解できないのかい?
Re:どう考えても建前 (スコア:1)
SMSによる2段階認証はベストな選択肢ではない — それに代わる方法とは [kaspersky.co.jp]
ツイッターの有料会員なら愚行をおかせるようになる (スコア:1)
有料会員になるとセキュリティレベルの低い機能をあえて使えるようになる。最高だぜ。
これが三要素になるとかならマシだが。
Re: (スコア:0)
自動的に2FAが外れるのはヤバい気がする。
アカウント連携してるサービスが悪用されたとかで訴訟沙汰になったりして。
Re: (スコア:0)
ほとんどいないだろうけど、別の2FAに変更できない理由のあるユーザーは、アプリ連携を全部解除したうえで、できればコンテンツを全部削除し、パスワードを自分でも覚えきれないメチャメチャなのにしてからサインアウト、おさらばしたほうがいいね。
実はリスト攻撃で乗っ取られる状況なのにSMSを有効にしていて助かってるユーザーは、自動的にSMSが解除になったとたんにアカウント盗られる。
連携アプリがあれば、そっちも危険。
アカウント削除でもいいじゃん、と思うかもしれないけれど、SNSで使ってたアカウントは基本的には消さないほうがいい。
サービスによっては同じアカウントが再取得されてしまう可能性があるから。
同じアカウントが取得されて、成りすましされたらたまったもんじゃない。
Re: (スコア:0)
ここで言う悪用というのは、無駄にSMSの2FAを繰り返す奴がいて
Twitterのコストに負担をかけた奴がいたという意味かもしれない。
Re: (スコア:0)
そういう悪用はシステム側で対処できるものなので、それを理由に無料ユーザー全員から機能を削除するという処置の説明としては無理がある。
お金を払ってもらいたいということだろうな。
ただ、一般的には無料ユーザーからお金を取りたいなら、無料ユーザーには無い付加価値を付けて有料契約を誘引するものなので、Twitterのように機能を削減して悪化させることでお金を払うように仕向けるのは珍しい。
これはTwitter社に、そういう付加価値を新たに生み出す能力がなくなったということを意味してる。
ちなみにMicrosoftのTeamsも無料ユーザーからは大幅に機能を削減する計画があるらしいけれど、Teamsの場合は機能が多彩すぎて付加価値を付けようにも限界だからだね。
Re: (スコア:0)
なにそのダブルスタンダード
Re: (スコア:0)
どの辺がダブスタ?
Teamsはただでさえ機能が多すぎだとユーザーから言われるくらい。
Twitterの2FAは最低限この設定はしておかないと危ないと言われている必須機能。
不要な機能を削除するTeamsと、必要な機能を削除するTwitterの差は大きい。
回避策はあるわけだから別に構わないけど。
ガラケー使ってるユーザーがまだいたら困るかもね。
Re: (スコア:0)
不要だと判断して機能削ったらユーザーからクレーム殺到MSはもちろんなんてどこにでもある話。
不要/必要はユーザーによって大きく違うから、Teamsの機能削除はまっとうなものだと今の時点で決めつける根拠はない。
そして別ツリーでも指摘があるようにSMSによる2FAは問題あり。それを2FAそのものをなくすかのように語ってるのもデタラメ。
悪用していたのは携帯キャリア (スコア:0)
どこかの電話会社がbotアカウント大量に作って、2FAでSMSメッセージを送り、料金をせしめていたからと説明しているようだ。
まーしょうがないんじゃないのかな。
逆SMSにすればいいんじゃないかなと思う。
表示されたコードを登録済みの携帯番号からSMSでツイッター社に送信すればログインできるように。
NISTのガイダンス? (スコア:1)
SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案 2016年
https://security.srad.jp/story/16/07/26/0920203/ [security.srad.jp]
Re: (スコア:0)
これ読んでみても二要素認証としてSMSが危険の理由がよくわからん。
デバイスのロックを解除しなくても読み取れる、というのはあるけど、SMSは所有認証を担っているものだから直接は関係ないだろうし。
ほかのページをみてみるとSMSを直接盗み見することできるみたいだけど、日本でも実際に起こっているの?
海外なんかだとインターネット経由でSMSを見ることができて問題になる場合もあるみたいだけど。
認証アプリ (スコア:0)
2要素認証終了くらって、認証アプリに切り替えようとしたけどうまくいかない
そのまま放置してたら早速ワシントン方面からアカウントへのアクセスアラートが
とりあえずパスワード変更
Re:認証アプリ (スコア:1)
認証アプリ登録した覚えなかったけど有効になってた。
ずいぶん昔に登録していたのかもしれない。
で、新たに設定したくても設定の変更ができないので、一度無効化してから有効化したら登録のQRコードが出たよ。
QRコードを認証アプリのカメラで読み取ったら完了。
スマホを失くすと面倒なことになりそうだけど。
SMS認証の無効化自体は理解できるのだが (スコア:0)
SMS 認証は確かにここのところ危ないと言われていて実被害も出ているので廃止するのはわかるのだけど、
それならなぜ Twitter Blue ユーザーだけ残すのかが理解できん。
Re: (スコア:0)
認証アプリを使いきれないユーザーはバカにできないくらい大勢いるので、お金を払って使い続けるか、ただのパスワード認証になってしまってアカウント乗っ取られるユーザーが大量に出ると思う。
ツイッターってアカウント乗っ取られたから作り直したって話をよく聞くけど、乗っ取られた人たちって認証はどうしてたんだろうね。
Re: (スコア:0)
まあやっぱりSMS送信費用を抑えたいってのが一番の理由なんだろうね
有料のTwitter Blueユーザーは対価を払ってるので使わせてやるぞと
悪用防止なんて本当はどうでもいいんだよ彼らにとっては
Re: (スコア:0)
家賃未払とか報じられちゃう会社ですから。
電話番号消せる? (スコア:0)
んで、結局、電話番号消してもいいようになったの?
仮BANでもされるとうっとおしいので、渋々残してるんだが
Re: (スコア:0)
電話で広告を聞かせるシステムで使うのに番号消されたら困るのでダメです
Re: (スコア:0)
電話番号無しで登録してそこそこ安定運用できてる(そろそろ1年で万単位の投稿)んで
消せるのだったら消してもいいんじゃないか?
携帯電話は所有・使用してないんで登録できるわけも無かったんだけど
登録した場合に消せるのかどうかまでは知らない。
TwitterのSMS認証のコストは年間80億円(botのせい) (スコア:0)
2要素認証のショートメールを要求しまくるボットのせいでTwitterは年間80億円も失っていた [gigazine.net]
botにSMSを使わせて金を稼ぐ悪質な通信事業者が要るせいで、年間80億円もコストが掛かってたとか。
最初なんで?と思ってたが、それはまあ廃止せざるを得ないよね…。
Re: (スコア:0)
BOTの仕掛けがSMS費用をTwitterに請求する当の通信業者だった、ってオチか。
確かにそりゃ仕掛ける同機もあればブロックするのも解らんでも無いね。