Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

2要素認証によるログインに失敗する #12882

Closed
1 task
PYU224 opened this issue Jan 2, 2024 · 23 comments
Closed
1 task

2要素認証によるログインに失敗する #12882

PYU224 opened this issue Jan 2, 2024 · 23 comments
Labels
⚠️bug? This might be a bug

Comments

@PYU224
Copy link

PYU224 commented Jan 2, 2024

💡 Summary

アプリと物理キーによるログインが以下のようなエラーを返してきて通らない

{"id":"cdf1235b-ac71-46d4-a3a6-84ccce48df6f"}

🥰 Expected Behavior

なし

🤬 Actual Behavior

なし

📝 Steps to Reproduce

なし

💻 Frontend Environment

* Model and OS of the device(s):PCとiPhone13
* Browser:ChromeとOpera
* Server URL:misskey.puyuyu.com
* Misskey:2023.12.2

🛰 Backend Environment (for server admin)

* Installation Method or Hosting Service:systemd
* Misskey:2023.12.2
* Node:20.10
* PostgreSQL:15
* Redis:最新
* OS and Architecture:Ubuntu22.04

Do you want to address this bug yourself?

  • Yes, I will patch the bug myself and send a pull request
@PYU224 PYU224 added the ⚠️bug? This might be a bug label Jan 2, 2024
@PYU224
Copy link
Author

PYU224 commented Jan 2, 2024

二段階認証時の日本語でのエラーメッセージは「サーバー内部で予期せぬエラーが発生しています」です。

提案なんですが、管理者や本人のログインできている端末から2段階認証をストップさせる機能が必要では?と思っています。

@PYU224
Copy link
Author

PYU224 commented Jan 2, 2024

同じgoogleアカウントのものが2つ表示されるようになってしまいました。
メアドは同じなのに、それぞれ違う6桁の数字が表示されています。
https://support.google.com/accounts/thread/218177930/google-authenticator%E3%81%AE6%E6%A1%81%E3%82%B3%E3%83%BC%E3%83%89%E3%81%AE%E5%89%8A%E9%99%A4%EF%BC%88%E7%AE%A1%E7%90%86%EF%BC%89?hl=ja
これが起きていました。

@PYU224
Copy link
Author

PYU224 commented Jan 2, 2024

せめて2段階認証のQRコードの再表示機能があればと思います。

@Kur0den
Copy link

Kur0den commented Jan 2, 2024

一度二段階認証を解除して再度登録しなおすのではだめなのでしょうか…?

@PYU224
Copy link
Author

PYU224 commented Jan 2, 2024

それが2段階認証の解除にも2段階認証が必要で、解除すらできない状態なんです。

@PYU224
Copy link
Author

PYU224 commented Jan 2, 2024

2要素認証の解除は精々パスワード程度で良くない?と思いますが・・・

@Kur0den
Copy link

Kur0den commented Jan 2, 2024

二段階認証セットアップ時に表示されるバックアップコードを入力するのはどうでしょうか?

@syuilo
Copy link
Member

syuilo commented Jan 2, 2024

2要素認証の解除は精々パスワード程度で良くない?と思いますが・・・

パスワードが漏れた場合の砦となるのが2faだと思ってるので、パスワードだけで2faの解除が行えるとすると機能の意味が全くなくなりそうな気がしたけど認識間違ってるかしら

@PYU224
Copy link
Author

PYU224 commented Jan 2, 2024

セットアップ時にバックアップコードが出なかった記憶があります。

パスワードだけで2faの解除が行えるとすると機能の意味が全くなくなりそうな気がした
そのシチュエーションはログインできる端末を他人に手にされているという事なので、その時点でダメなような気がします。

@Kur0den
Copy link

Kur0den commented Jan 2, 2024
edited
Loading

バックアップコードは必ず出てくる気が…?

バックアップコードを控えてないのであれば二段階認証の解除時に複数あるワンタイムトークンを一つづつ試してみるのはどうでしょうか?
登録ができているということは恐らくどれかは正常正しいトークンだと思うのですが…

@syuilo
Copy link
Member

syuilo commented Jan 2, 2024

あー2fa解除APIを叩くにはログインしている必要がある=叩けるということは(少なくとも過去1度は)2faクリアしているということだからパスワード認証だけでもセキュリティは担保されるかも…?

@u1-liquid
Copy link
Sponsor Contributor

あー2fa解除APIを叩くにはログインしている必要がある=叩けるということは(少なくとも過去1度は)2faクリアしているということだからパスワード認証だけでもセキュリティは担保されるかも…?

iなどトークンが漏えいされているケースがあるので担保されていません

@PYU224
Copy link
Author

PYU224 commented Jan 2, 2024

複数あるワンタイムトークンを一つづつ試してみる
問題に陥る前に間違えて片方を削除してしまいました。

iのトークンか。難しいですね。

@PYU224
Copy link
Author

PYU224 commented Jan 2, 2024

勘違いと手違いに対するリカバリー策はもう少し欲しいです。

@Kur0den
Copy link

Kur0den commented Jan 2, 2024
edited
Loading

問題に陥る前に間違えて片方を削除してしまいました。

リカバリーとかもできない感じですかね…?
トークンを失くしたのであればもうログインする手段はないかと…

@PYU224
Copy link
Author

PYU224 commented Jan 2, 2024

google authenticatorを使っていますが、削除した二段階認証のキーを復帰させる事ができればそれはそれで問題は解決するんですが、方法が見当たりません。
管理者がサーバーを新設して早々にこれはまずい。

@Kur0den
Copy link

Kur0den commented Jan 2, 2024

サーバー管理者で新設したばかりならサーバーを建て直すのはどうでしょうか?

@PYU224
Copy link
Author

PYU224 commented Jan 2, 2024

どうにもならないのでしたらそうします。

@Kur0den
Copy link

Kur0den commented Jan 2, 2024

トークンを削除してしまってリカバリーコードも控えてないのであればMisskey自体にセキュリティガン無視のウルトラCがない限りもうどうしようもないかと

@PYU224
Copy link
Author

PYU224 commented Jan 2, 2024

分かりました。
では立て直します。

@Kur0den
Copy link

Kur0den commented Jan 2, 2024

次二段階認証をセットアップする際はバックアップコードを控えるのを忘れないようにしてくださいね…

@PYU224
Copy link
Author

PYU224 commented Jan 2, 2024

そうします・・・後は不必要に認証アプリのキーを削除しない事も意識します。

@samunohito
Copy link
Member

これ以上はissueが動かなさそうなのでcloseとさせていただきます。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
⚠️bug? This might be a bug
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
5 participants
@syuilo @u1-liquid @samunohito @PYU224 @Kur0den