アカウント名:
パスワード:
二段階認証が必要になる最大の原因は、ログインID メールアドレスパスワード ユーザーが指定した文字列となってしまうこと多くのユーザーが、よくあるパスワードや、他のサイトと共通のパスワードを使ってるなのでリスト攻撃やら、他から漏れたアカウント情報でログインが簡単に成り立つ
ログインID メールアドレスパスワード1 ユーザーが指定した文字列パスワード2 サーバが付与したランダム文字列
みたいに、サーバ指定文字を入れればいい
二段階認証と二要素認証は、横方向に認証方式が広がる=スケールアウトしてるから安全。パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。フィッシングやられたら一発アウト。やりなおし。
サーバが付与したランダムパスワードを使うのは二段階認証の実装のひとつといってよいでしょう。Firefoxアカウントの二段階認証はTOTP対応アプリによるランダムPIN入力のようですから、専用アプリを必要としない点でサーバが付与したランダム文字列は便利ですが、対象が拡張機能開発者ということを考えると特に優位点は思い当たりませんでした。
なお、二段階認証あるいは二要素認証はリスト型攻撃に有効な対策であり、どちらにしろプロキシ型のフィッシング詐欺は防げません。ちょうど昨日も新聞記事になっていましたね。
ネットバンクの不正送金被害が急増 「フィッシング」組み合わせた新しい手口目立つ - 毎日新聞 [mainichi.jp]
新しい手口はまず、メールやSMSでフィッシングサイトに誘導し、利用者が入力したIDやパスワードを使って本物のサイトにログインする。すると、金融機関から利用者に認証用の番号が記されたSMSが届くので、その番号を偽サイトに入力させて盗み、不正送金する。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
二段階認証よりサーバが付与したランダムパスワードのほうがいい (スコア:0)
二段階認証が必要になる最大の原因は、
ログインID メールアドレス
パスワード ユーザーが指定した文字列
となってしまうこと
多くのユーザーが、よくあるパスワードや、他のサイトと共通のパスワードを使ってる
なのでリスト攻撃やら、他から漏れたアカウント情報でログインが簡単に成り立つ
ログインID メールアドレス
パスワード1 ユーザーが指定した文字列
パスワード2 サーバが付与したランダム文字列
みたいに、サーバ指定文字を入れればいい
Re: (スコア:0)
二段階認証と二要素認証は、横方向に認証方式が広がる=スケールアウトしてるから安全。
パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。
フィッシングやられたら一発アウト。
やりなおし。
Re:二段階認証よりサーバが付与したランダムパスワードのほうがいい (スコア:3, 参考になる)
サーバが付与したランダムパスワードを使うのは二段階認証の実装のひとつといってよいでしょう。Firefoxアカウントの二段階認証はTOTP対応アプリによるランダムPIN入力のようですから、専用アプリを必要としない点でサーバが付与したランダム文字列は便利ですが、対象が拡張機能開発者ということを考えると特に優位点は思い当たりませんでした。
なお、二段階認証あるいは二要素認証はリスト型攻撃に有効な対策であり、どちらにしろプロキシ型のフィッシング詐欺は防げません。ちょうど昨日も新聞記事になっていましたね。
ネットバンクの不正送金被害が急増 「フィッシング」組み合わせた新しい手口目立つ - 毎日新聞 [mainichi.jp]