X社(以前はTwitterとして知られていました)は、最近のSECアカウントのハッキングを受けて、パスワードレスログイン方法のサポートに関心を示しました。
この会社は、iOSユーザー向けに追加のセキュリティ対策を提供しています。
同社によると、これは従来のパスワードに比べて「強化されたセキュリティ」を提供する機能であり、個別にデバイスによって生成されるため、フィッシング攻撃や不正アクセスに対してより脆弱性が低くなります。
パスワードレスログインのサポートは、現在は米国のiOSユーザーにのみ利用可能であり、X社はこのサポートがいつ(または何時までに)拡大されるかについてのスケジュールを提供していません。このソーシャルメディアプラットフォームのこの決定は、様々なテクノロジー企業が将来的にパスワードレスログイン方法をサポートすることを約束したことに応えています。
X社は、この技術的なサポートを選択した各アカウントに対してユニークなキーペア(公開鍵と秘密鍵)を生成します。公開鍵はX社によって共有され、保存されますが、秘密鍵はユーザーのデバイスにのみ残ります。
X社は「秘密鍵はサーバーの公開鍵を使用してアカウントを安全に認証し、入力する必要なくログインできるようにします。キーは自動的に生成され、ログイン情報を覚える必要がなく、簡単に回復できるように安全に保管されます」とブログ記事で述べています。
パスワードレスログインの方法の支持者は、データ侵害で盗まれることがないため、従来のパスワードよりも安全であると主張しています。
パスワードレスログインのサポートを実装する決定は、さまざまな著名なX社アカウントのハッキングによるものです。たとえば、証券取引委員会(SEC)のアカウントは今月初めにハッキングされ、ビットコイン製品を宣伝するリンクが含まれていました。
X社は、この侵害を「特定できない個人」がサードパーティのウェブサイトを通じてアカウントに関連付けられた電話番号を乗っ取ったことに帰因しています。また、X社はSECアカウントが「その時点では二要素認証(2FA)が有効になっていなかった」とも述べています。
ただし、X社は昨年、プレミアム版のウェブサイトを利用するユーザーのみにSMSだけを使用した認証方法を提供することで、一部の二要素認証の利用を制限しました。
現在、二要素認証を維持したい未登録のユーザーは、認証アプリとセキュリティキーのいずれかを選択する必要があります。X社は、テキストメッセージを使用した二要素認証の乱用が原因で、この変更を行ったと説明しています。
X社のパスワードレスログインのサポートに関するよくある質問:
1. X社におけるパスワードレスログインとは何ですか?
X社でのパスワードレスログインは、各アカウントごとにデバイスによって個別に生成される鍵を使用し、フィッシング攻撃や不正アクセスから保護します。
2. 誰がX社のパスワードレスログインを利用できますか?
現在、パスワードレスログインのサポートは、米国のiOSユーザーのみが利用できます。
3. X社のパスワードレスログインのサポートは拡大されますか?
X社は、他のオペレーティングシステムや地域へのパスワードレスログインのサポート拡大についてのスケジュールを提供していません。
4. X社のパスワードレスログインはどのように機能しますか?
各アカウントに対して、公開鍵と秘密鍵のユニークなキーペアが生成されます。公開鍵はX社に保存されますが、秘密鍵はユーザーのデバイスにのみ残ります。秘密鍵はパスワードを入力する必要なくアカウントを安全に認証します。
5. パスワードレスログインはなぜより安全とされていますか?
パスワードレスログインは、キーがデータ侵害で盗まれることがないため、従来のパスワードよりも安全とされています。
6. X社がパスワードレスログインを導入する理由は何ですか?
パスワードレスログインの導入決定は、SECアカウントなど、さまざまなX社のアカウントでの侵害によるものです。アカウントと関連付けられた電話番号をサードパーティのウェブサイトを通じて乗っ取ることが、侵害の原因でした。
7. X社は二要素認証を提供していますか?
現在、X社は二要素認証のオプションを制限しています。未登録のユーザーは、認証アプリとセキュリティキーのいずれかを選択することができます。
8. デイリーブリーフに登録するにはどうすればよいですか?
シリコンリパブリックから科学技術のトップニュースを毎日受け取るために、デイリーブリーフに登録するには、[リンク名](https://www.siliconrepublic.com/)を訪れてください。
The source of the article is from the blog krama.net