パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla、拡張機能開発者に二段階認証の有効化を義務付けへ」記事へのコメント

  • 二段階認証が必要になる最大の原因は、
    ログインID メールアドレス
    パスワード ユーザーが指定した文字列
    となってしまうこと
    多くのユーザーが、よくあるパスワードや、他のサイトと共通のパスワードを使ってる
    なのでリスト攻撃やら、他から漏れたアカウント情報でログインが簡単に成り立つ

    ログインID メールアドレス
    パスワード1 ユーザーが指定した文字列
    パスワード2 サーバが付与したランダム文字列

    みたいに、サーバ指定文字を入れればいい

    • by Anonymous Coward

      二段階認証と二要素認証は、横方向に認証方式が広がる=スケールアウトしてるから安全。
      パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。
      フィッシングやられたら一発アウト。
      やりなおし。

      • サーバが付与したランダムパスワードを使うのは二段階認証の実装のひとつといってよいでしょう。Firefoxアカウントの二段階認証はTOTP対応アプリによるランダムPIN入力のようですから、専用アプリを必要としない点でサーバが付与したランダム文字列は便利ですが、対象が拡張機能開発者ということを考えると特に優位点は思い当たりませんでした。

        なお、二段階認証あるいは二要素認証はリスト型攻撃に有効な対策であり、どちらにしろプロキシ型のフィッシング詐欺は防げません。ちょうど昨日も新聞記事になっていましたね。

        ネットバンクの不正送金被害が急増 「フィッシング」組み合わせた新しい手口目立つ - 毎日新聞 [mainichi.jp]

        新しい手口はまず、メールやSMSでフィッシングサイトに誘導し、利用者が入力したIDやパスワードを使って本物のサイトにログインする。すると、金融機関から利用者に認証用の番号が記されたSMSが届くので、その番号を偽サイトに入力させて盗み、不正送金する。

        親コメント

身近な人の偉大さは半減する -- あるアレゲ人

処理中...