検証用に作ってあったTwitterアカウントを削除したのだが
・セキュリティトークン(YubiKey)の二段階認証
・アプリの時間式ワンタイムパスワードの二段階認証
を、設定してあった。
さて、このアカウントを削除すると
ってメールが来る。
まさかなぁ・・・と思ってIDとパスワードでログインしたら「アカウント削除処理したけど復活させるか?」って出てくるのよ
で、アカウント復活させるとDMとかツイートとか全部見えるの。
勿論「二段階認証は解除されてる」
いや、Twitterくんお前マジでなんでこういう実装した!?
=========================
分かってくれてる人もいるけど、一応補足しておくと二段階認証を設定されているアカウントで、削除の操作を行った時点で二段階認証の設定が削除。
そのため、IDとパスワードでログインすれば乗っ取れるし二段階認証をかけて奪える。
ただ、この操作をやると「Twitterアカウントを復活しました」のメールは来るので乗っ取られたら気付くことは可能ではある
=========================
どうすりゃいいのかかけよ!っていうけどTwitterくんが二段階認証情報を削除するのを
アカウント削除と同じ30日後にすりゃいいだけでしょ
Twitterも15年くらいの歴史あるけどWeb系だからなあ Googleと同じで、 「あ、今日からルール変えました。理由はとくにないっす」 をするのに抵抗がない会社だと思うよ 100年選手のIBMや40年...
Apple「今回からUI全部変えます。これが最先端なので使って慣れてください」
夢~じゃないあれもこれも~
じゃあどんな挙動が正解なんです? もちろん馬鹿に配慮するのを忘れないでね
本文に書いてあるよ
自分のTwitterアカウントにIDとパスワードを入力してアカウントを操作する→自分のTwitterアカウントを消す→もう一度Twitterを復活させる→2段階認証を別の携帯電話で行う→メールアドレ...
出来ない アカウントを消すためにログインする際は2段階認証が必要 自分でアカウントを削除したあと、アカウントが消えるまでの30日間はIDとPWだけで乗っ取れるって話
つまり、IDとパスワードを知っている乗っ取りたいアカウントの持ち主を病ませてアカウントを削除させて、 その後にしれっとIDとパスワードを入力すれば2段階認証も無しにログイン出...
アカウントが有効でない状態でアプリの二段階認証を生かすのは難しいかも。 YubiKey を後から追加したからそうなってんのかもな
異ー論があるならマスクに言え
これにはBOY-KENも同意見。
アカウント削除と同じ30日後にすりゃいいだけでしょ 全くもってそのとおりだな。まあ優先度低いから無視してるんだろうな 自分はパスワードは十分長くて一意なもの使ってるのだけ...
検証用(自演用
これ結局どうなったの? 仕様? セキュアにしたかったら使い続けろという脅迫?