MFA
このタグの記事 4 件
フィッシングとは — 手口の種類と「見破る」より確実な防御
フィッシングは、信頼できる相手になりすまして偽のログイン画面などへ誘導し、認証情報や個人情報を盗む(またはマルウェアを実行させる)詐欺。ソフトの脆弱性ではなく『人の判断』を突くのが特徴で、ランサムウェアや情報漏えいの最大の侵入経路。今は本物そっくりの偽サイトでワンタイムコードまで中継する中間者型(AiTM)があり、SMS/アプリのMFAも突破されうる。確実な防御は『見破る注意力』ではなく、ドメインに紐づくフィッシング耐性MFA(パスキー/物理キー)・リンクを踏まず公式へ直接・メール認証(SPF/DKIM/DMARC)。
二要素認証(MFA)の正しい選び方:SMSより強い「フィッシング耐性」とは
MFAは『パスワードが漏れても入られない』ための二重ロックだが、何を付けたかで強さが3段違う。SMS/メールはフィッシング中継・SIMスワップで破られる弱い方式、認証アプリ(TOTP)は中、パスキー/物理キー(FIDO2)は偽サイトに出せない『フィッシング耐性』で別格。最優先は王国の鍵(メール・ドメイン・決済)にフィッシング耐性MFAをかけること。リカバリーコードの保管とバックアップ手段の用意までが正しい運用。
パスワードをGoogleドライブに保存するのは安全?正しい保管方法
平文のGoogleドキュメント/スプレッドシートにパスワードを一覧保存するのは危険。理由=Googleアカウント1つが全パスワードの単一障害点になり、乗っ取り・不正連携アプリ・フィッシングで一気に全部漏れる。正解は専用パスワードマネージャ(端末間でも中身は暗号化)。どうしてもDriveを使うなら暗号化済みの管理ファイルだけ+アカウントにフィッシング耐性MFA。
個人開発・小規模運営のセキュリティ最低限:業界標準の対策を全部セットで
最低限の対策は『全部同じ重さ』ではない。当サイトの優先順位=①王国の鍵(多要素認証・ドメイン・メール)②秘密とコード③アプリ本体④パッチ・検知・復元。リソースが有限な個人は、この順で上から埋めるのが正解。多くの事故は新種の攻撃ではなく、この土台の抜けから起きる。