I know I believe in nothing but it is my sweet nothing.:2015年07月分

2015/07/05(Sun)

[Windows][Security] Windows 10 build 10162 における多段階認証について (その1)

しばらく前から Windows 10 Insider Previewに参加してるわけですが、build 10130までは Windows Insider Programに登録した Microsoft アカウントとの紐付けをしなくても、 Fast Ringへの設定変更だけで、Windows Update から最新の更新が降ってきたのですが、build 10162 になって紐付けが必須になった模様。

しゃーないので「修正」をクリックして Microsoft アカウントでログインするよう変更することに。

「Microsoft アカウントでサインイン」をクリックしてウィザードを起動します。私はかつて IS12T を使ってた関係上 Microsoftアカウントはすでに作成済で、Windows Insider Programへもそのアカウントで参加しました。そのメールアドレスとパスワードを入力し、サインインをクリックします。

そうするとMicrosoft アカウントへのサインインは成功し、続けてこのビルドで導入された「 新しい2段階認証機能」の設定がはじまり、現在のローカルアカウントのパスワードの再確認が促されます。

はじまりますって…あれ?

@build 10162 は Microsoft アカウントに元々存在した多{段階,要素}認証をバイパスしてしまう?

私はすでに Microsoft アカウント に対して旧来のスマホをワンタイムパスワード生成器とした多{段階,要素}認証を設定してるのですが、それを完全にすっ飛ばしてサインインに成功しちゃってるんですがなんやこれ…(震え声)

「新しい2段階認証機能」とやらがまだ導入されていない build 10130 ではちゃんとメールアドレスとパスワードの入力の後

  • スマホアプリによるワンタイムパスワード認証の場合 → コードの入力画面
  • メール/SMS/電話認証の場合 → セキュリティーコードの送信先を指定する画面

が出てきて、それが成功しない限りサインインできなかったんですけどね…

build 10130 は旧来の多段階認証による確認をしないままに Microsoft アカウントへのサインインは成功してまい、Outlookからはメールの読み書き、OneDrive は非公開フォルダも自由に閲覧から編集まで何でもできてしまっています。

どう考えてもこれ認証バイパスですよね(しろめ)

ただしウィザードでは一切出てこないのですが、「設定」→「アカウント」を開くと「このPCで本人確認を行う必要があります」 という項目が一応は存在してるんですな。

「確認する」をクリックすると、build 10130と同様のセキュリティーコードの入力画面が出てきますが時すでにお寿司。

本人かどうかの確認はしていないけれども、クラウドサービスへは自由にアクセス可能ってどういうことなんですかね…

@そもそもワンタイムパスワードを使った多段階要素認証って

最近のウェッブサービスで広く使われるようになってきたワンタイムパスワードですが、なぜ旧来のパスワード認証がアカンかというとパスワードの盗難被害の増加が背景にあります。

  • 古典的なパスワード総当り攻撃
  • スパイウェアなどの盗聴によるパスワード窃盗
  • セキュリティホールを突かれての情報流出
  • ↑と絡んで、複数のウェッブサービスでひとつのパスワードを使い回による被害拡大
  • 「秘密の質問」のようなSNSへの書き込みなどから簡単に回答が推測できる愚かなパスワード再設定機能による人災*1

なんかが原因な訳ですが、パスワードが漏れてもそれとは別にパスワード生成機が生成した使い捨てのパスワードが無ければ認証失敗とすることで安全にしようってわけですな。

ちゅーことでパスワードは盗聴できたんだけどワンタイムパスワードが突破できないとお悩みの悪意のあるクラッカーが、Windows 10 build 10162 をインストールすると認証回避でウハウハということです *2

@次回

そんで今回の事態を引き起こしたトリガーと思われる Windows 10 の新機能である「新しい多段階認証」についても、この問題が延焼しているようなので次回はその話を書く予定、7/29リリースなのに大丈夫なのかこのOSは…

*1:最近は ask.fm みたいな自分語りサービスに、秘密の質問を送りつけてくるbotとかいるらしいゾ
*2:本人確認の有無で機能制限はあるのかもしれないけど、OutlookやOneDriveの中が見れるってだけでもう詰んでるよね…

2015/07/06(Mon)

[Windows][Security] Windows 10 における多段階認証について (その1.5)

@前回の訂正

昨日のネタで一点訂正、build 10130 以前でもセキュリティーコードを入力せずに「後で行う」を選択すると build 10162 と同様にワンタイムパスワード認証を迂回して Microsoft アカウントにサインイン可能なんですな、要はデフォルトが変更になったと。

つまりMicrosoftアカウントに対してワンタイムスワード認証を設定していても、OutlookやOneDriveのデータは保護されないのは仕様だってことです、うげー。

そんで「このPCで本人確認を行う」を実行しないと有効にならない権限があるかもしれんと書きましたが、実際にありまして「Microsoftアカウントの管理」のリンクをクリックすると

  • 支払い情報
  • ファミリー設定
  • サブスクリプション
  • セキュリティ設定
  • その他

が出来るようになる模様。

まぁこれリンククリックすると単にブラウザが起動して Microsoft アカウント Web サイトの管理画面が開くだけで、そこの部分がシングルサインオン可能ってだけっぽいすな。

それと本人確認が終わってない場合、Microsoft アカウントのパスワード変更にはワンタイムパスワードが要求されるので

  • 盗んだパスワードでログインした後にパスワード変更して正規の所有者を追い出して時間稼ぎ
  • 嫌がらせ目的でアカウントの凍結や削除

ということも無理ではある模様。

ま、でもしかし前回も書きましたが

  • Outlook で管理しているあんなメール
  • OneDrive で管理しているこんな写真

はパスワードが盗まれてしまったらワンタイムパスワードによる保護の対象ではないので、悪意のあるクラッカーはアクセスし放題なわけです。

決済機能がクラックされて失うのは決済上限の金銭で場合によっては補償も効くかもしれませんが、メールやストレージがクラックされてあんなデータこんなデータが流出すると、社会的に致命傷喰らって二度と立ち直れないかもね(ニッコリ)

ちゅーことで「パスワード漏れたけどワンタイムパスワードがあるからへーきへーき」とは努々思わないことです(真顔)

@次回

今度こそ Windows 10 の「新しい二段階認証」の話を書く予定だけどいつものとおり飽きてきたので以下略