メールアドレスか電話番号を入力し6桁のコードが送信されてログインする仕組みは「最悪のパスワードシステム」なので今すぐ改修が必要という指摘

アプリやサービスのログイン時に、メールアドレスや電話番号を入力して、メールやショートメッセージで届いたワンタイムパスワードを入力することで認証するプロセスはよくあります。このようなログインプロセスは、アカウントのセキュリティの観点で非常に危険であると、エンジニアのダニエル・ファン氏が指摘しています。

We replaced passwords with something worse | Blog - Daniel Huang
https://blog.danielh.cc/blog/passwords

ログイン画面のパスワード入力だけではなく、メールアドレスや電話番号に届いた認証コードの両方でログインする「2要素認証」は強力なセキュリティとして重宝されています。しかし、セキュリティ企業のDouble Octopusによると、「2段階認証はパスワードだけよりもマシ」程度のもので、ハッカーにとってはほとんど無意味だと考えられるそうです。

電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない - GIGAZINE

2段階認証はパスワード保護を少しでも強化するものですが、ログインプロセスの中には、パスワードを忘れた場合などに「登録したメールアドレスや電話番号を入力して、そこに届いた使い捨てコードを入力したら一時的にログインできる」というものがあります。このログインプロセスは、かなりセキュリティリスクが高い「最悪のシステム」だとファン氏は述べています。

例えば、以下の動画では、Discordサーバーを経由してワンタイムパスコードを乗っ取る詐欺について解説しています。

Discord's Minecraft Verification Scam! - YouTube

ハッカーはまず、Minecraftの無料アイテムを提供するなどとうたうDiscordサーバーに招待します。そのDiscordサーバーではボイスチャットでやりとりしており、ボイスチャット経由でお得な情報や無料アイテムが手に入ります。ボイスチャットに参加するには、Discordサーバー内にリンクが貼られているボットで認証する必要があります。

認証には、Minecraftのユーザー名と登録しているメールアドレスを入力します。入力ボックスの黄色いエリアには、「パスワードや重要な情報を共有しないでください」と注意書きがありますが、ムービーを投稿したNo Text To Speechは「そもそも、Minecraftアカウントを認証するのにメールアドレスが必要なのがおかしい」と指摘しています。

ボットで認証をすると、メールアドレスにMicrosoftアカウントからワンタイムパスコードが届きます。

Discordから開いた認証ボットに戻り、ワンタイムパスコードを入力したら認証完了です。

しかしこのとき、サーバーの管理者はユーザーのアカウントの乗っ取りを試みています。ユーザーが入力したメールアドレスを使って勝手にアカウントへアクセスし、ログインのためにワンタイムパスワードを発行してユーザーに教えてもらったという流れです。そのため、認証ボットによりユーザーはメールアドレスとワンタイムパスコードを盗み取られ、攻撃者はそれらを使ってMinecraftアカウントを乗っ取ることができてしまいます。

ハッカーは正規のログインサービスと攻撃対象者との間に入るだけで、メールアドレスとワンタイムパスワードを知ることができます。さらに、この攻撃の大きな問題点として、ユーザーのメールアドレスや電話番号に届くワンタイムパスワードは正規のサービスから送られているもののため、詐欺に気付きにくい点があります。かなり簡単な攻撃方法であり、パスワードをいかに複雑にしたところで防ぐことができないため、アカウントのセキュリティにとって非常に危険です。

実際に、Googleは2段階認証にはセキュリティリスクがあると考えて、SMSで6桁の認証コードを送信するプロセスから、表示されたQRコードをスキャンするプロセスに置き換える計画を発表しています。

GoogleはGmailの2段階認証を6桁の認証コードからQRコードに置き換えている - GIGAZINE

ソーシャルニュースサイトのHacker Newsでは、ワンタイムパスワード式のログインのさらなる問題点が指摘されています。「Microsoftアカウントのパスワードリセットがリクエストされた」という通知を毎日複数回受け取るというユーザーは、この通知にはアカウントを回復するための6桁の番号が書かれているため、1回あたり100万分の1の確率で、アカウントが盗まれる可能性があります。別のユーザーは、ワンタイムパスワード自体は正規のメールアドレスから送られてくるため、単にパスワードを教えてしまう場合より余計に騙されやすいとして、「メール内のリンクをクリックする」という方法が比較的優れていると述べています。