アカウント名:
パスワード:
ワンタイムパスワードって公開鍵みたいなものを渡して認証サーバーなんてなくても機能するものだと思ってたけど違ったのか。普通に実装すればそうなるよね。RFC 6238とかだってそうだし。
しかし、広告に「ノートンなら、何もしなくてもあんしん。」とかが出てくるのはアレだな。いつものことだけど。
どうやら、これみたい。
Symantec Validation & ID Protection (VIP ) チラシ [symantec.com][※PDF注意]
「クラウドだから認証サーバーを自前で立てなくていい」というのが売りの模様。まあ、外部に認証サーバーがあるわけだから、そっちが死ねば認証できないのは当然と言えば当然。
ノートンを選ぶくらいなら、何もしないほうがあんしん。という意味かもしれません。
何もしなくてもあんしん。そう、ノートンを使わなければね。
追記:公開鍵と言っても漏れたら総当たりできるから貰ってないって事かしら。
ワンタイムパスワードの実装方法にもよるのだろうが、一般的な RFC 6328 みたいなのは公開鍵ではなく、秘密鍵を共有鍵が漏れたら正攻法で解けるわけで、総当たりみたいな作業はいらない。銀行とかだと、鍵の保持は業者も任せたいってのはあるだろうな。
Googleやら MS、Yahoo に Facebook なんかも、RFC6328 なのだけど、漏れたら凄いことになりそうね。
typo 6328じゃなくて 6238 だ。
うん。考えてみると秘密鍵なんて概念はワンタイムパスワードには無理だった。英数数文字回すのと普通にパスワード生成するのと一応最低五千倍くらいは違うとは言え、後者ができれば前者もできる。多分実際その通り自前の鍵管理を嫌ったんだろうが、自前のサーバーから漏れたりしうるならなんだってありかる思う。専用デバイスとか配ってるならおいそれと交換できないとかは分かるが、スマホとかなら最悪QRコードを読み取らせて再設定させるだけの話なのに。
金融系で採用されていたようだから、アセスメントの内容よりも体裁が売りになる商売なのかもしれない
セキュリティ全般に反応して出てくる分には仕方ないけど、どうにもこいつらって自社名自社ブランド名に反応しても出してる臭いんだよなぁ…
ニュースにしろ個人ブログにしろ大体の場合は悪評なんだから、自社に属する名前は逆に広告出稿のNGワードにでもしてしまえばいいのに。(できるかどうかは知らない)
ポジティブに名前が出てくることもなくはないけど、決定的有意なら内容自体が広告で広告するまでもないし、逆にこういう時に名前が出てきて間抜けな製品・広告主だと周知されるほうがダメージでかいんじゃないかと。
ネット広告業界が短絡的な事して自らの首を締めてくのはいつものことだけど、一体いつになれば広告主たちがそれをしっかり意識するようになるのだろう。# セキュリティ業界自体も首絞め仲間なところがあるからこいつらは当分仲良くしてそうだが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
シマンテックの障害で使えなくなる? (スコア:0)
ワンタイムパスワードって公開鍵みたいなものを渡して認証サーバーなんてなくても機能するものだと思ってたけど違ったのか。
普通に実装すればそうなるよね。
RFC 6238とかだってそうだし。
しかし、広告に「ノートンなら、何もしなくてもあんしん。」とかが出てくるのはアレだな。いつものことだけど。
Re:シマンテックの障害で使えなくなる? (スコア:2, 参考になる)
どうやら、これみたい。
Symantec Validation & ID Protection (VIP ) チラシ [symantec.com][※PDF注意]
「クラウドだから認証サーバーを自前で立てなくていい」というのが売りの模様。
まあ、外部に認証サーバーがあるわけだから、そっちが死ねば認証できないのは当然と言えば当然。
Re: (スコア:0)
ノートンを選ぶくらいなら、何もしないほうがあんしん。という意味かもしれません。
Re: (スコア:0)
何もしなくてもあんしん。そう、ノートンを使わなければね。
Re: (スコア:0)
追記:公開鍵と言っても漏れたら総当たりできるから貰ってないって事かしら。
Re: (スコア:0)
ワンタイムパスワードの実装方法にもよるのだろうが、一般的な RFC 6328 みたいなのは公開鍵ではなく、秘密鍵を共有
鍵が漏れたら正攻法で解けるわけで、総当たりみたいな作業はいらない。
銀行とかだと、鍵の保持は業者も任せたいってのはあるだろうな。
Googleやら MS、Yahoo に Facebook なんかも、RFC6328 なのだけど、漏れたら凄いことになりそうね。
Re: (スコア:0)
typo 6328じゃなくて 6238 だ。
Re: (スコア:0)
うん。考えてみると秘密鍵なんて概念はワンタイムパスワードには無理だった。
英数数文字回すのと普通にパスワード生成するのと一応最低五千倍くらいは違うとは言え、後者ができれば前者もできる。
多分実際その通り自前の鍵管理を嫌ったんだろうが、自前のサーバーから漏れたりしうるならなんだってありかる思う。
専用デバイスとか配ってるならおいそれと交換できないとかは分かるが、スマホとかなら最悪QRコードを読み取らせて再設定させるだけの話なのに。
Re: (スコア:0)
金融系で採用されていたようだから、アセスメントの内容よりも体裁が売りになる商売なのかもしれない
Re: (スコア:0)
セキュリティ全般に反応して出てくる分には仕方ないけど、
どうにもこいつらって自社名自社ブランド名に反応しても出してる臭いんだよなぁ…
ニュースにしろ個人ブログにしろ大体の場合は悪評なんだから、
自社に属する名前は逆に広告出稿のNGワードにでもしてしまえばいいのに。(できるかどうかは知らない)
ポジティブに名前が出てくることもなくはないけど、決定的有意なら内容自体が広告で広告するまでもないし、
逆にこういう時に名前が出てきて間抜けな製品・広告主だと周知されるほうがダメージでかいんじゃないかと。
ネット広告業界が短絡的な事して自らの首を締めてくのはいつものことだけど、
一体いつになれば広告主たちがそれをしっかり意識するようになるのだろう。
# セキュリティ業界自体も首絞め仲間なところがあるからこいつらは当分仲良くしてそうだが。