MFAがどういう攻撃を想定してどういう理屈でセキュリティを高めてるのかよく分かってないんだけど、1台のスマホにLastpass(等のパスワードマネージャ)とTOTPを両方入れてるのって安全なの?
@osa_k スマホを盗まれてアンロックされたらログインされちゃうけど、パスワードが漏れた場合にはまだTOTPに守ってもらえそうに思います。
@zundan パスワードが単独で漏れるタイプの攻撃が想定ってことなんですかね。現実的には1台のスマホに両方入れるのでスマホの紛失に対しては脆弱だけど、あまりそこを突っ込んだ議論はない?
@osa_k 僕の個人的な理解で間違ってたら申し訳ないのですが、MFAはパスワードが漏れたりパスワードリセットのメールが漏れたりした場合でもアカウントを守るために設定するもので、その点だけを考えれば、1台のスマホに両方あるから脆弱になるものではなさそうです。いっぽう、スマホを盗まれたり紛失したるする可能性は無視できなさそうなので、パスワードマネージャとMFAを両方入れちゃう人はMFAを設定いないくらいの強度しか必要と思ってないんだろうなあと眺めてます。(蛇足だけどMFAを1つだけ設定して安心してる人もMFAを失ったらどうなるか想像できないのかなって悲しくなります。あと、Google AuthenticatorのTOTPも弱くなっちゃったんだろうな、って)
@zundan まあそうですよね。とはいえ現実的には
・スマホは各種サービスにアクセスする汎用端末として使われるので、パスワードを扱う必要がある
・追加の投資が不要なTOTPデバイスとしてスマホが要求されがち
という状況なので、パスワードマネージャとTOTPを完全に別デバイスに分けろ!というのは理想論が過ぎると思っています。普通の人はスマホ以外にデバイスを持ち運ばないので……。
実際の運用としても https://social.mikutter.hachune.net/@osa_k/110268653739341786 のようにパスワードマネージャは追加の要素を求めるので、「MFAを設定しない」状態よりはだいぶ安全な気がしています。
@osa_k なるほどーパスワードマネージャの実装しだいな感じなんですね。僕はだいぶ怠惰なのでパスワードはgpgで、MFAはYubico社にお金を出して解決しちゃってます←
@zundan TOTPのクラウド共有が気持ち悪いのはそうで、YubiKeyみたいなセキュリティトークンが流行るといいですね……。TOTP + バックアップコードしか2FAの手段がないサービスもいくつかありますが……(手元で調べた範囲だとRedditとさくらがそうでした)
@osa_k Yubico OTPはむっちゃベンダーロックインだしFIDOは実装複雑そうだしTOTPのところが多いのはしょうがないですよねー。僕はTOTPは見やすさもあってIIJ SmartKeyを使ってます。電話を更新したときにケーブルをつないで引っ越したらTOTPシークレットもぜんぶコピーされててびっくりしたんだけと、暗号化したファイルシステムがそのままコピーされたんだと思いたい…w