アカウント名:
パスワード:
今日日問題になってるのって、フィッシング詐欺とパスワードリスト攻撃でしょ?Microsoft Authenticator(TOTP)ではプロキシ型のフィッシング詐欺には対抗できないし、パスワード使い回すようなリテラシーの低いユーザーがこの機能を使うのかね?それなら複雑なパスワードを設定してパスワードマネージャに覚えさせた方が汎用性が高い。セキュリティを気にするユーザーはパスワード+Microsoft Authenticator(TOTP)の2要素認証にすればいいし、わざわざMicrosoft Authenticator(TOTP)だけにしてセキュリティレベルを落とす必要を感じないな。
ここで言ってるMicrosoft AuthenticatorはTOTPじゃない。Microsoft からのスマホへの通知。Microsoftに申請してトークンもらったアプリ/サイトから、MSに認証かけて、MSからスマホへの通知がくる。フィッシングによる認証横取りを出来なくするもの。
認証時の画面に出る番号を選択しない、認証要求に結果を返すことができないので、自分がやろうとしてる認証と、認証要求を取り違えたりする心配もない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
誰が使う想定? (スコア:0)
今日日問題になってるのって、フィッシング詐欺とパスワードリスト攻撃でしょ?
Microsoft Authenticator(TOTP)ではプロキシ型のフィッシング詐欺には対抗できないし、
パスワード使い回すようなリテラシーの低いユーザーがこの機能を使うのかね?
それなら複雑なパスワードを設定してパスワードマネージャに覚えさせた方が汎用性が高い。
セキュリティを気にするユーザーはパスワード+Microsoft Authenticator(TOTP)の2要素認証にすればいいし、
わざわざMicrosoft Authenticator(TOTP)だけにしてセキュリティレベルを落とす必要を感じないな。
Re:誰が使う想定? (スコア:3, 参考になる)
ここで言ってるMicrosoft AuthenticatorはTOTPじゃない。
Microsoft からのスマホへの通知。
Microsoftに申請してトークンもらったアプリ/サイトから、MSに認証かけて、MSからスマホへの通知がくる。
フィッシングによる認証横取りを出来なくするもの。
Re:誰が使う想定? (スコア:1)
認証時の画面に出る番号を選択しない、認証要求に結果を返すことができないので、自分がやろうとしてる認証と、認証要求を取り違えたりする心配もない。