アカウント名:
パスワード:
二段階認証が必要になる最大の原因は、ログインID メールアドレスパスワード ユーザーが指定した文字列となってしまうこと多くのユーザーが、よくあるパスワードや、他のサイトと共通のパスワードを使ってるなのでリスト攻撃やら、他から漏れたアカウント情報でログインが簡単に成り立つ
ログインID メールアドレスパスワード1 ユーザーが指定した文字列パスワード2 サーバが付与したランダム文字列
みたいに、サーバ指定文字を入れればいい
二段階認証と二要素認証は、横方向に認証方式が広がる=スケールアウトしてるから安全。パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。フィッシングやられたら一発アウト。やりなおし。
サーバが付与したランダムパスワードを使うのは二段階認証の実装のひとつといってよいでしょう。Firefoxアカウントの二段階認証はTOTP対応アプリによるランダムPIN入力のようですから、専用アプリを必要としない点でサーバが付与したランダム文字列は便利ですが、対象が拡張機能開発者ということを考えると特に優位点は思い当たりませんでした。
なお、二段階認証あるいは二要素認証はリスト型攻撃に有効な対策であり、どちらにしろプロキシ型のフィッシング詐欺は防げません。ちょうど昨日も新聞記事になっていましたね。
ネットバンクの不正送金被害が急増 「フィッシング」組み合わせた新しい手口目立つ - 毎日新聞 [mainichi.jp]
新しい手口はまず、メールやSMSでフィッシングサイトに誘導し、利用者が入力したIDやパスワードを使って本物のサイトにログインする。すると、金融機関から利用者に認証用の番号が記されたSMSが届くので、その番号を偽サイトに入力させて盗み、不正送金する。
勝手に補足しておくと、よくあるスマホアプリを使ったMFAは> パスワード2 サーバが付与したランダム文字列に時刻を加えてハッシュを取って生成した数列を認証に使っている(RFC6238)。これの利点は以下の通り。・入力が簡単になること・フィッシングに引っかかっても「サーバが付与したランダム文字列」そのものが推測不可能になること・したがってリプレイ攻撃に対して強いこと
> パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。リスト型攻撃やブルートフォース攻撃を防げるので、「セキュリティは上がってない」は大嘘。そもそも、攻撃の大半はリスト型で、フィッシングを遥かに上回るリスクです。
> フィッシングやられたら一発アウト。それは、OTPも同じ。
スマホアプリのタイムベースのワンタイムパスワード生成(Google 認証システム)は、シークレットキーと時刻を基にワンタイムパスワードを生成する仕組みであって、そのもととなるシークレットキーはスマホのアプリ領域に保存されてます。root化すればシークレット
言ってることは正しいが一点だけ間違ってるフィッシングに引っかかったらアウトなのは二段階認証も同じ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
二段階認証よりサーバが付与したランダムパスワードのほうがいい (スコア:0)
二段階認証が必要になる最大の原因は、
ログインID メールアドレス
パスワード ユーザーが指定した文字列
となってしまうこと
多くのユーザーが、よくあるパスワードや、他のサイトと共通のパスワードを使ってる
なのでリスト攻撃やら、他から漏れたアカウント情報でログインが簡単に成り立つ
ログインID メールアドレス
パスワード1 ユーザーが指定した文字列
パスワード2 サーバが付与したランダム文字列
みたいに、サーバ指定文字を入れればいい
Re: (スコア:0)
二段階認証と二要素認証は、横方向に認証方式が広がる=スケールアウトしてるから安全。
パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。
フィッシングやられたら一発アウト。
やりなおし。
Re:二段階認証よりサーバが付与したランダムパスワードのほうがいい (スコア:3, 参考になる)
サーバが付与したランダムパスワードを使うのは二段階認証の実装のひとつといってよいでしょう。Firefoxアカウントの二段階認証はTOTP対応アプリによるランダムPIN入力のようですから、専用アプリを必要としない点でサーバが付与したランダム文字列は便利ですが、対象が拡張機能開発者ということを考えると特に優位点は思い当たりませんでした。
なお、二段階認証あるいは二要素認証はリスト型攻撃に有効な対策であり、どちらにしろプロキシ型のフィッシング詐欺は防げません。ちょうど昨日も新聞記事になっていましたね。
ネットバンクの不正送金被害が急増 「フィッシング」組み合わせた新しい手口目立つ - 毎日新聞 [mainichi.jp]
Re: (スコア:0)
勝手に補足しておくと、よくあるスマホアプリを使ったMFAは
> パスワード2 サーバが付与したランダム文字列
に時刻を加えてハッシュを取って生成した数列を認証に使っている(RFC6238)。
これの利点は以下の通り。
・入力が簡単になること
・フィッシングに引っかかっても「サーバが付与したランダム文字列」そのものが推測不可能になること
・したがってリプレイ攻撃に対して強いこと
OTPは万能ではない (スコア:0)
> パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。
リスト型攻撃やブルートフォース攻撃を防げるので、「セキュリティは上がってない」は大嘘。
そもそも、攻撃の大半はリスト型で、フィッシングを遥かに上回るリスクです。
> フィッシングやられたら一発アウト。
それは、OTPも同じ。
スマホアプリのタイムベースのワンタイムパスワード生成(Google 認証システム)は、
シークレットキーと時刻を基にワンタイムパスワードを生成する仕組みであって、
そのもととなるシークレットキーはスマホのアプリ領域に保存されてます。
root化すればシークレット
Re: (スコア:0)
言ってることは正しいが一点だけ間違ってる
フィッシングに引っかかったらアウトなのは二段階認証も同じ