信頼できる友人を通してパスワードを再設定するFacebookのTrusted User機能
以前、「ほいほいとFacebookのフレンド申請に応じているとアカウントをのっとられてしまうかもしれない」という情報を紹介したのですが、その続報です。この設定をしておけば、以前の記事の「ほいほいアタック」は無効化することができます。
以前の記事を復習しておくと、秘密の質問などを設定していない場合に無作為にフレンドを受け入れているとアカウントをのっとられるしくみはこうでした。
-
攻撃者は、攻撃する相手にダミーアカウント3つでフレンド申請をしておきます
-
相手がダミーアカウントを承認したのを確認したら、そのアカウントにでたらめなパスワードで複数回ログインを試みる
-
すると「3人の友人に認証してもらってください」という表示とともに3人を選択できるようになるので、攻撃者はダミーアカウントに認証コードを送信してアカウントをのっとり
Facebook が現在ロールアウトしている Trusted Friends 機能は、この3のステップをあらかじめやっておくというものです。あらかじめ、3-5人の信頼できる友人を指定しておけば、認証コードが送られるのはダミーアカウントではなくなりますので、この攻撃は功を奏しないわけです。
もちろん「秘密の質問」を設定しておき、これまで通り「ログイン承認」の設定を行っておくことで見知らぬデバイスからアクセスがあった場合には携帯電話にセキュリティーコードが送信されるようにしておけばさらに安心です。
Trusted Friends は現在一部のアカウントにおいて利用可能で、順次ロールアウトされるようです。
