アカウント名:
パスワード:
っと思ったが、パスワード + 状況に応じて秘密の質問なのですね。
普段と違うIPの場合に聞くとかかな?
シンプルでそれなりの効果がありそうですね。気になる人は、母親の旧姓をクトゥルフ神話の神様あたり設定してもいいし
マルウエア対策だと思うが、インジェクションして本物と同じ場所に偽入力画面を追加してやれば簡単に盗めるので、ほとんど効果がないと思うぞゆうちょの取引パスワードを盗むやつみたいに本来は無い画面を挟み込むのなら注意してれば防げるけど、本物と同じ流れで画面を追加されると騙されないのはほぼ不可能だろうし
ユーザ認証において、フィッシングと組み合わせた中間者攻撃に対して有効な対抗手段はそもそもほとんどない(SSL証明書をちゃんと確認しましょう!けど、それをみんながちゃんとやってくれるなら苦労しない)から、もうそれは仕方ない。
リスクベース認証と組み合わせて認証方法を追加するのは、一般的なユーザの利便性をそれほど損なわないで結構効果が得られるからなかなかいい方法。
その偽入力画面に秘密の質問を表示しないといけないけど、どこから取得するの?
マルウェアではない一般ユーザーはどこから秘密の質問を取得するのでしょうか?もちろん、正規のWebサービスからです。
ユーザーは怪しまれないと秘密の質問を取得することはない。マルウェアが取得するには正規のWebサービスに怪しまれなきゃいけない・・・ってことなりません?それはそれで守りを固めやすくなりそうな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
パスワード再発行に必要な「秘密の質問」は役立たず (スコア:0)
っと思ったが、
パスワード + 状況に応じて秘密の質問
なのですね。
普段と違うIPの場合に聞くとかかな?
Re: (スコア:1)
シンプルでそれなりの効果がありそうですね。
気になる人は、母親の旧姓をクトゥルフ神話の神様あたり設定してもいいし
Re:パスワード再発行に必要な「秘密の質問」は役立たず (スコア:0)
マルウエア対策だと思うが、インジェクションして本物と同じ場所に偽入力画面を追加してやれば簡単に盗めるので、ほとんど効果がないと思うぞ
ゆうちょの取引パスワードを盗むやつみたいに本来は無い画面を挟み込むのなら注意してれば防げるけど、本物と同じ流れで画面を追加されると騙されないのはほぼ不可能だろうし
Re:パスワード再発行に必要な「秘密の質問」は役立たず (スコア:2)
ユーザ認証において、フィッシングと組み合わせた中間者攻撃に対して有効な対抗手段はそもそも
ほとんどない(SSL証明書をちゃんと確認しましょう!けど、それをみんながちゃんとやってくれるなら苦労しない)から、もうそれは仕方ない。
リスクベース認証と組み合わせて認証方法を追加するのは、一般的なユーザの利便性をそれほど損なわないで結構効果が得られるからなかなかいい方法。
Re:パスワード再発行に必要な「秘密の質問」は役立たず (スコア:1)
その偽入力画面に秘密の質問を表示しないといけないけど、どこから取得するの?
Re:パスワード再発行に必要な「秘密の質問」は役立たず (スコア:1)
マルウェアではない一般ユーザーはどこから秘密の質問を取得するのでしょうか?
もちろん、正規のWebサービスからです。
Re:パスワード再発行に必要な「秘密の質問」は役立たず (スコア:1)
ユーザーは怪しまれないと秘密の質問を取得することはない。
マルウェアが取得するには正規のWebサービスに怪しまれなきゃいけない・・・ってことなりません?
それはそれで守りを固めやすくなりそうな。