Amazon の Ring Camera のセキュリティについては多くのことが書かれています。私は今でも、会社のセキュリティに関して人々が発見している問題のほとんどは、攻撃者がユーザー名とパスワードを知る必要があると主張しています。これは、アカウントに強力で固有のパスワードを使用することで防ぐことができます。しかし、そこで止まらないでください。
Viceのマザーボードが同社の緩いセキュリティ慣行を問題視するのは正しい。その最新の調査資料ここでは、誰かがあなたのアカウントにログインしようとしている(またはログインに成功している)ときに、Ring がどのように何も通知しないのかについて説明しています。たとえば、誰かがあなたのアカウントへのログインに以前に使用したことのない IP アドレスを使用してあなたのアカウントにログインしても、警告は表示されません。また、その人は、自分であることを確認する追加の方法の提供を求められません。また、いつでも自分のアカウントにログインしている人の数を確認する方法や、ログインしているすべての IP アドレスのリストを確認する方法もありません。持っているアカウントに正常にログインしました。
実際、Ring は、ハッカーが (以前に漏洩した資格情報を使用して) Ring アカウントに侵入するために使用している非常にブルートフォース攻撃を防ぐのにあまり効果がないようです。マザーボードは次のように説明しています。
「Ring ハッカーのソフトウェアは、Ring Web ログイン ポータル上の電子メール アドレスとパスワードが機能するかどうかを迅速にチェックすることによって機能します。ハッカーは通常、他のサービスからすでに侵害されている組み合わせのリストを使用します。誰かが間違ったログイン要求をあまりにも多く行うと、多くのオンライン サービスはログインを一時的に停止したり、IP アドレスに不審なマークを付けたり、ログインしようとしているユーザーが自動化されたプログラムではなく人間であることを確認するためにキャプチャを表示したりします。ただし、Ring はこれに対して最小限の保護を備えているようです。マザーボードは、Tor 匿名ネットワークから数十回連続して接続しているときに、ログイン ポータル上のアカウントに意図的に間違ったパスワードを入力しました。 Ring がログイン試行を制限したり、キャプチャを表示したりすることは決してありませんでした。」
良いニュースは? Ring アカウントをある程度保護することはできますが、すでにログインしていて、あなたがこれを読んでいるのを見ている人を阻止するには、追加の手順を実行する必要があります。
Ring アカウントの保護は簡単ですが、微妙なところがあります
モジラとして書きます、Ring アカウントへの攻撃を防ぐ最善の方法は、2 要素認証を有効にすることです。そしてそうすることで簡単です。 iOS、iPadOS、または Android デバイスで Ring アプリを開き、左上のアイコン (三本線の図) からアカウント設定を表示し、「セキュリティの強化」で「2 要素認証」を探すだけです。 」
電源を入れ、パスワードを入力し、確認コードの送信に使用できる携帯電話番号を Ring に入力し、プロンプトが表示されたらそのコードを入力します。
Ring は、あなたまたは他の誰かが新しいデバイスから Ring カメラにアクセスしようとするたびにコードをテキストメッセージで送信するだけであるため、この「2 段階」認証技術は、適切な「2 要素」認証設定よりも安全性が若干劣ります。 (その微妙な違い平均的なユーザーにとっては重要ですが、知っておくことは重要です)。
ただし、問題は次のとおりです。Ring の 2 要素認証 (用語を使用する場合) をオンにしても、不正なアクセスを行ったユーザーはアカウントから排除されません。すでにこれは奇妙ですが重要な違いです。アカウントの安全性が高まります。未来、しかし現在ではありません。
この記事を書いた時点では、あなたのアカウントにアクセスできるすべてのユーザーをログオフする唯一の方法は、パスワードを変更することです。 2 要素認証を設定した後にこれを行うと、Ring アカウントは可能な限り安全になります。
誰かがあなたのログイン資格情報を持っていて、あなたとしてログインしようとして 2 段階認証に失敗しても、通知は受け取らないため、その攻撃者を信頼する必要があります。またあなたのメッセージを傍受する方法が見つかりませんでした。
Vice のレポートが的中しているのはここです。Ring はユーザーに最低限の情報を提供しているため、誰かがあなたのアカウントの資格情報を入手できたかどうかを知る方法はまったくありません。そして2 要素認証をバイパスします。ランダムな攻撃者がそれを実行できる可能性は信じられないほど低いですが、すべきゼロになる。誰かがあなたとしてサインインしようとしたときに、Ring がそれを通知できない理由はありません。そうすれば、パスワードを変更したり、認証方法を保護したりできます。
