多要素認証にメール認証を加えて欲しい #14221
Comments
これは各所での説明不足も原因な気がする(off-topic) |
これの他にも「二段階認証を設定したときにバックアップコードをメモってなかったせいでパスワードを忘れたときに変更したり新しいデバイスからログインしたりすることができない」という事故がある (misskey.ioでよく見る) |
This comment has been minimized.
This comment has been minimized.
|
「認証アプリではなくiOSのQRコード読み取り機能を使って2要素認証をしてしまった結果ログイン出来なくなった」って事例なら一度だけ見ましたね。 |
セキュリティキー・パスキーの利用である程度軽減可能(iosではapple id単位で、androidではgoogleアカウント単位で同期もされる) |
|
セキュリティキー・パスキーに関してドキュメンテーションがない問題は把握しているので近いうちに取り組む予定です こちらに関しては:misskey-dev/misskey-hub-next#209 |
「バックアップコードは二要素認証に使用する端末とは別に保管してください」くらいまで言う必要がありそう |
|
メールアドレス宛ての認証コード発行による二要素認証の解放が可能になれば、TOTPとバックアップコードの紛失によりログインできなくなったユーザーが復帰できる可能性が高まるんですよね。 |
Summary
多要素認証の形態に、メールアドレス宛にワンタイムパスワードを送付する形の認証方式を加えて欲しい。
Purpose
メールアドレス宛てにワンタイムパスワードを送付するタイプの認証方式を要素に加えて欲しいと考えています。
TOTPの利用にあたって、トラブルが起きるとログイン不能になるのはユーザーに厳しすぎます。
さらに言ってしまえば、TOTPの紛失でアクセス不能になる人がバックアップコードでどうにかなるシナリオこそ存在し得ない物ではないでしょうか?
だいたいスマホごと消えてますよね、バックアップコード。
そうやって管理不能に陥ったアカウントは却ってユーザーの個人情報セキュリティ的な脅威になり得るため、こうした強固すぎるセキュリティはそれはそれで問題があります。
セキュリティ的にユルいのは承知の上でメール宛てのワンタイムパスワードを実装した方が良いのではと提案します。
Do you want to implement this feature yourself?
The text was updated successfully, but these errors were encountered: