そんなアルゴンガス。
PCでWebサービスを利用するときに、2FA/MFAの手段として、GoogleやMSのAuthenticatorアプリをスマホに入れてワンタイムパスワードを取得したり、スマホでSMS経由でコードをうけとったりしますよね。
1.PCでアクセス
2.スマホで認証
→2要素を持っていることを利用
ここ数年、PC上のブラウザ拡張でAuthenticator拡張を入れて、PC上でそれを完結させるのが一般的になってきています。
お参考:
C. パソコンの Web ブラウザ拡張機能で多要素認証する場合
1.PCでアクセス
2.PCで認証
→2要素を持っている?
これ、PCにアクセスされると、2FA/MFAも突破されてしまいますよね?
そりゃまぁ、パスワード管理ツール(1passwordとか)のマスターパスワードが突破されることを心配するのと同じで、「PCに自由にアクセスされる状態で負けは必至」という考え方もあるとは思いますがね。
ただ、セキュリティ対策というのは、「防ぐことが目的」ではなく「被害の緩和」なので、投資の鉄則と同じく、
・タマゴをひとるのカゴに盛るな
という原理原則は守った方が良い気がします。
以下の記事によれば、例えばセールスフォースではブラウザ拡張による認証は非推奨ぽいようです。
SalesforceのMFA対応、Chrome拡張のAuthenticatorアプリがたぶん最強(だが、たぶん非推奨)
貼り付け元 <https://www.harefull.co.jp/blog/salesforce_mfa_chrome_authenticator/>
で、いろいろと状況を整理していて気付いたのですが、今どきのITワーカーはPCを使わないので、
1.スマホでアクセス
2.スマホで認証
という状況がデフォルトです。
ごみため自身もスマホアプリやスマホでWebサービスを利用して2FA時に「同じスマホ上の」Authenticatorアプリを使っています。
幸い、スマホの認証アプリでは認証アプリ事態に認証ガードがかかっているので、突破の危険性は緩和されている気もします。
例えばdアカウント設定アプリなどは、一度認証に失敗すると、永久に再認証に失敗し続けるという鬼プロテクトがかかっていますよね 笑
