マイクロソフトのパスワードレス認証を使ってみて、ログイン要求をID(メールアドレス)の入力だけで出来てしまうのはリスキーなのではないかと思ったが、検証してみると心配無用だった。
認証の手順は次の通り。
①PCのログインページでIDを入力してAuthenticator使用を選択すると2桁のコード(数字)が表示される
②認証端末(スマホ)のAuthenticatorアプリを開き、「通知の確認」を押すとと3つの2桁のコード(数字)が表示される
③PCに表示されたものと同じコードをアプリで選択⇒生体認証⇒承認(ログイン)完了
まず第三者の攻撃者が手順①を行っても、ユーザーの認証アプリには何の通知も届かないのでスルーされる。もし偶然同じタイミングでユーザーが手順②を実行したとしても、覚えの無いリクエストであるし、3つのコードのうちどれが正解か分からないので選択しようにも迷う。迷っているうちに30秒程度でタイムアウトするので攻撃者は再トライしなければならない。3つのコード以外に「拒否」のボタンもあるので、怪しいリクエストは弾ける。
と、このようなしくみになっているので、知らない人からのログイン要求を誤って承認してしまうリスクは極めて低い。
さすがマイクロソフト、真面目に取り組んでいるだけある。
0 件のコメント:
コメントを投稿