• はてなブックマーク
  • テクノロジー
  • メールアドレス認証2FAはパスワードだけで突破できるからやめておけ
  • Twitterでシェア
  • Facebookでシェア

メールアドレス認証2FAはパスワードだけで突破できるからやめておけ

テクノロジー カテゴリーの変更を依頼 記事元:zenn.dev/grandchildrice
適切な情報に変更
133users がブックマーク コメント 36
    共有

    • 記事へのコメント36

    • 注目コメント
    • 新着コメント
    その他
    meganeya3
    パスワードを定期的に変更するのをおすすめされた……

    その他
    zkq
    「定期的に変更する」でこの人の認識が10年遅れていることに気づけるのがミソ。

    その他
    megumin1
    どう考えてもガセネタで悪質なデマですね。本人(自称セキュリティの専門家)に悪意がないのなら、どうしてこのような勘違いに至ったのか、後日、その経緯を明らかにしてほしいところ。

    その他
    theatrical
    ログインしないとメールアドレス変更できない。ログインは2faが必要。結果パスワードだけで2faは突破できない。となるはずなのでcontact supportに、連絡とかしないと不可能だと思われる。ただそれなら他の2faメソッドもだめ

    その他
    circled
    「あと、それでもパスワードはセキュリティの要です。定期的に変更するのをオススメします。」→ これ、同じパスワードを使いまわしてなければ無問題だろ。定期的な変更の方が悪手って結論出てるの知らないのか?

    その他
    higgsino
    パスワードリセットで新しいメールアドレスに送信出来るって7payの不正利用事件のやつじゃん。まともなサービスならそんなことしないよ

    その他
    suka6411144
    仮にそういうサービスがあったとしてもそれはサービス側の脆弱性と考えるのが普通だと思う

    その他
    uzusayuu
    えっそうなの?推奨されなくなったものと思っていた→「定期的に変更するのをオススメします。」

    その他
    tettekete37564
    “パスワードを使って「メールアドレス変更」する” < 2FA通さずにこれできちゃうサービスが脆弱なだけでは?

    その他
    monbobori
    telegramの2FAにメアド以外の選択肢がないような…/書いたの若い学生さんみたい

    その他
    noonworks
    「リアルタイムフィッシングでMFAコードまで抜かれて攻撃者にログインされた前提」の話?とすれば、確かに攻撃者がメアド変更できる可能性がある。だがその前提だと結局コード式MFAはどれも同じ。パスキー使おう。

    その他
    deep_one
    コメントを見て。パスワードはツールに生成させて管理するなら定期的に変更してもよいぞ。常識である。

    その他
    secseek
    そもそも2FA自体が時代遅れなので今から新しく導入することはないでしょう

    その他
    JULY
    これ、「パスワード認証のみで通知先メールアドレスが変更可能」というサイト側の脆弱性。昔、重要なリクエスト時に送るメールのアドレスを都度入力、というサイトがあったなぁ。

    その他
    higgsino
    higgsino パスワードリセットで新しいメールアドレスに送信出来るって7payの不正利用事件のやつじゃん。まともなサービスならそんなことしないよ

    2025/07/21 リンク

    その他
    tettekete37564
    tettekete37564 “パスワードを使って「メールアドレス変更」する” < 2FA通さずにこれできちゃうサービスが脆弱なだけでは?

    2025/07/21 リンク

    その他
    yoshi-na
    人様のキャラと名前を騙ってるヤツにセキュリティを語って欲しくないです

    その他
    pmint
    自称セキュリティ専門家がやりそうな手口。何のパスワードか書いてない点で、理解の浅さもバレてる。"いまXみたら、2FAが電話番号・Authenticator App・Security Keyの3択になっていました"…前からそうだけど。やってるね、これ

    その他
    ROYGB
    パスワードのみで変更可能なのがまずいのならメール以外の二段階認証もダメなのではないかな。

    その他
    onesplat
    勘違いしてる奴も多いけど、本人のリテラシーが十分に高いならパスワード定期変更したほうがええんやぞ。そういう読者向けの記事なんちゃいますの。

    その他
    suka6411144
    suka6411144 仮にそういうサービスがあったとしてもそれはサービス側の脆弱性と考えるのが普通だと思う

    2025/07/21 リンク

    その他
    monbobori
    monbobori telegramの2FAにメアド以外の選択肢がないような…/書いたの若い学生さんみたい

    2025/07/21 リンク

    その他
    favoriteonline
    bioの「暗号やセキュリティやブロックチェーンについて研究しています」これ見て、パス変更のくだりみて自称はあてにならないなと思った

    その他
    taguch1
    パスワードの定期変更で有効なのは運営会社がセキュリティインシデントを隠蔽する可能性が高い場合くらいだけど、それがわかってるならサービス使うのやめた方が安全という結論。

    その他
    appleseedz
    根本的に話がおかしくないか? パスワード盗まれてログインされた際のメールアドレスに通知された2FAは誰がやるの? 乗っ取られた人が間違えてやったならそっちの問題じゃない?

    その他
    soxandcity
    おそらくですが「パスワードを忘れた場合はこちら」からのパスワード変更の話をしているんでしょう

    その他
    lli
    旧メールアドレス側の認証なしでアドレスの変更が可能という仕様がおかしい。少なくとも確認が取れない場合は変更前に一定の待機期間を設けるべき。あとパスワードの定期的な変更は無意味どころか害悪。

    その他
    lainof
    この記事が本当か知らないけど、メールが使えない場合の復旧の話だと理解できてないコメントが多い。

    その他
    prograti
    これ本当なの?これが出来たらバックアップコードの意味なくない? / "端末を紛失したユーザーが唯一覚えているパスワードで復旧できるようにするためです"

    その他
    iamamachine
    セキュリティ最高峰とされるNIST(アメリカ国立標準技術研究所)のパスワード方針“Forcing users to change passwords regularly doesn’t improve security and can actually be counterproductive” https://cybersecuritynews.com/nist-rules-password-security/

    その他
    zkq
    zkq 「定期的に変更する」でこの人の認識が10年遅れていることに気づけるのがミソ。

    2025/07/21 リンク

    その他
    ya--mada
    このレベルの既存システムが未熟で危険視するネタは、TikTok、Instagramなどのショート動画で多く出回っていそう。謎のセキュリティー啓発ネタ(フェイク)が流行りそうだな。コーラ膣洗浄みたいな

    その他
    Fluss_kawa
    そもそもどうやってメールアドレス変更するのか謎。メールアドレス変更画面に辿り着くまでに2FAを要求される。サービスごとにパスワード変えてアカウントのログインとメール受信同時にやられないようにね、が正しい。

    その他
    otihateten3510
    ChatGPT:「メール2FAは危険」は一部正しいが誇張ぎみ。多くのサービスは2FAや通知で防御しており、簡単に乗っ取られるわけではない。

    その他
    hylom
    メールアドレスへのアクセス権限を盗まれたら終わるからメールを使った2FAは駄目!という話かと思ったら違った

    その他
    theatrical
    theatrical ログインしないとメールアドレス変更できない。ログインは2faが必要。結果パスワードだけで2faは突破できない。となるはずなのでcontact supportに、連絡とかしないと不可能だと思われる。ただそれなら他の2faメソッドもだめ

    2025/07/21 リンク

    その他
    uzusayuu
    uzusayuu えっそうなの?推奨されなくなったものと思っていた→「定期的に変更するのをオススメします。」

    2025/07/21 リンク

    その他
    bgioasfd
    2FAが設定されてるのにパスワードでメールアドレスを変更?どうやって?

    その他
    aiya000
    他の選択肢がある場合は2FAにメールアドレスを設定してないけど、2FA用メールアドレスとアカウントのメールアドレスって、必ず連動してるの? https://zenn.dev/grandchildrice/articles/a007075c0ec99c

    その他
    peketamin
    JPKI使うとか

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    メールアドレス認証2FAはパスワードだけで突破できるからやめておけ

    みなさん、XやTelegramやLinkedInの2FAをメールアドレスにしていませんか? 実は、これだと意味がありま...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.