アカウント名:
パスワード:
ので反対ですね。むしろそこでワンクッション置かないと。
具体的にどんな悪用が考えられます?
悪用者がログインして、悪用者にSMSが行った時点でアウトな気が。通常ユーザーが認証コードを受け取っても無視すればいいし、SMS届いた時点で強制的に認証画面に飛んで入力するわけじゃないでしょうし。
アプリまたはブラウザでコード入力画面になってることが前提でしょうね。いきなりコードが送られてきた場合にまでログインさせるんだったら2要素の意味ないし。
現状のiOSのSafariでもログインしてコード入力画面で待ってる時にOTPコード飛んできたら、1タップで入力するための表示が出てきますね。フォーマットが違うとこれを出せない場合があるから統一しない?ってことじゃないかと。
でも考えてみたら、全世界的に統一されて居れば一斉に行うだけで一定数は引っかかる人間が出て来る訳だよな。個人の印象だと「そんなの偶にしか」だけど、母数がデカいとシャレにならんかも。
全世界的に統一されて居なければ更に多くの人間が引っかかり続けてしまうけどいいの?
いいよ。俺が許可する
神奈川県警さんコイツです!
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
自動化しやすい=悪用者も自動化しやすい (スコア:2, 興味深い)
ので反対ですね。
むしろそこでワンクッション置かないと。
Re: (スコア:0)
具体的にどんな悪用が考えられます?
悪用者がログインして、悪用者にSMSが行った時点でアウトな気が。
通常ユーザーが認証コードを受け取っても無視すればいいし、SMS届いた時点で強制的に認証画面に飛んで入力するわけじゃないでしょうし。
Re: (スコア:0)
ZDNetの記事には
> Apps and browsers will automatically extract the OTP code and complete the 2FA login operation.
ってあるから、その通りなら端末が受信した時点で自動的に抽出してログインさせちゃうって事なんじゃないかと。
Re:自動化しやすい=悪用者も自動化しやすい (スコア:0)
アプリまたはブラウザでコード入力画面になってることが前提でしょうね。いきなりコードが送られてきた場合にまでログインさせるんだったら2要素の意味ないし。
現状のiOSのSafariでもログインしてコード入力画面で待ってる時にOTPコード飛んできたら、1タップで入力するための表示が出てきますね。フォーマットが違うとこれを出せない場合があるから統一しない?ってことじゃないかと。
Re: (スコア:0)
でも考えてみたら、全世界的に統一されて居れば一斉に行うだけで一定数は引っかかる人間が出て来る訳だよな。
個人の印象だと「そんなの偶にしか」だけど、母数がデカいとシャレにならんかも。
Re: (スコア:0)
全世界的に統一されて居なければ更に多くの人間が引っかかり続けてしまうけどいいの?
Re: (スコア:0)
いいよ。俺が許可する
Re: (スコア:0)
神奈川県警さんコイツです!