Hiromitsu Takagi on Twitter: "サービス毎に乱数でパスワード設定できている人にとって、2段階認証は不要。今問題となっているのは、そういう利用者ばかりとは期待できないサービス事業者側の自衛策としての必要性なの。そんなこともわからないで何がセキュリティー専門家と言え… https://t.co/V7ZdLYljih"

そもそも端末云々をいうなら、SMSを用いたケースもアプリを用いたケースも当該スマホがある意味キーなわけでつまりは対象端末に対するセキュリティの最終的な防波堤は端末そのものの認証方式だろうになんなんだこれは

 

ケースとしては事業者がお漏らししたケースと、自身の過失によりお漏らししちゃったケースが混在しているのはまさにアホかと思う。

 

大前提として、話しの始まりは事業者がお漏らしする事について、自衛策を考えるとそもそもパスワードを事業者向け固有のものにする事がもっとも効果的であり、極論言えば、その設定されるパスワードの難易度は最低限そのサイトの防衛策に依存する程度でかまわない。

例えば、極論にはなるが総当たり攻撃に対して明示的な策が講じられている場合であれば、最小限のパスワード文字数ですら問題はない。

なぜならば、そのパスワードが破られるリスクはそのサイトそのものに対する攻撃でしかありえず、且つ、そのパスワードを現実的に破りうる可能性は、そういった対策により限定されるためだ。

 

そう考えた場合に、そもそもパスワードはサイト固有の設定であるならば、もはや個人がパスワードを要素として個々に管理すべきという発想はなくなるし、且つ、そもそもお漏らしされてしまったことについても考慮する必要はない。

 

なお、2段階認証というのは、事業者側が攻撃された場合にはそもそも無効な対策であり、あくまでも平時に、何らかの手段により当該パスワードまたは認証を通過されるケースに対する対策であるわけで、パスワードが固有の設定で他サイトに影響を受けない事が保証された時点で価値をなさない。

 

この点については議論の余地はゼロだ。

ない、全くない。

 

反論の多くはその時点の視点が完全に間違っており、中にはケースとして自身の過失の話しも含めぶつけているが、それは別な次元の議論であって、貴方は土俵にすら立てていない。

 

もう一度いうが、この前提において二段階認証が有効となるケースはない。

全くない。

可能性はゼロだ。

 

以上。