アカウント名:
パスワード:
> ・攻撃者が何らかの方法で (例えば、「LINE」の中のトークルームの中で)、Windows/Mac OS/iPad/Google Chrome版「LINE」にログインするためのQRコードのURLを、被害者に共有する。> ・被害者が、上記URLをクリックすることにより、QRコードログインを完了するための画面に不正に誘導され、被害者が騙されて「ログイン」を押してしまう事で、攻撃者のデバイスにて不正ログインが成功する。この際、本来であれば、PINコードを用いた2要素認証が求められるところ、脆弱性によって本来実行されるべきPINコード確認の処理が省略された。
しかしこれ直したらPINコードどこで入れるん?
スマホで入れるんならURL押してそのままログイン押しちゃう人にはあんま意味なさそうスマホでログインした画面に出るものをパソコン版LINEに入れる、とかだとPINコードではない気がする
つい先日親のPCにLINEを入れたときはスマホにPINが来た気がする
ちゃう ショートメールで来た認証番号をPCに入力だった
なるほど、ショートメールですか電番認証ですねしかし結局それってPINって呼ぶもんなんですかね
PINの定義ってなんなんだろう適当にググるとネットワークに流れない暗証番号、とかSMSならインタネットには流れないからPINと呼べるんかなぁ
>PINの定義ってなんなんだろう>適当にググるとネットワークに流れない暗証番号、とか>SMSならインタネットには流れないからPINと呼べるんかなぁ
ネット経由loginでPINを求めるサイトはたまにありますね。一度「PINって何ですか?」とサポートに聞いたら「暗証番号です」と言われた。そこも二段階認証になって、SMSで流されてくる数字を入れる形式に変更されてた。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
認証用URLのコピペ、か (スコア:2)
> ・攻撃者が何らかの方法で (例えば、「LINE」の中のトークルームの中で)、Windows/Mac OS/iPad/Google Chrome版「LINE」にログインするためのQRコードのURLを、被害者に共有する。
> ・被害者が、上記URLをクリックすることにより、QRコードログインを完了するための画面に不正に誘導され、被害者が騙されて「ログイン」を押してしまう事で、攻撃者のデバイスにて不正ログインが成功する。この際、本来であれば、PINコードを用いた2要素認証が求められるところ、脆弱性によって本来実行されるべきPINコード確認の処理が省略された。
Re: (スコア:2)
しかしこれ直したらPINコードどこで入れるん?
スマホで入れるんならURL押してそのままログイン押しちゃう人にはあんま意味なさそう
スマホでログインした画面に出るものをパソコン版LINEに入れる、とかだとPINコードではない気がする
Re: (スコア:2)
つい先日親のPCにLINEを入れたときはスマホにPINが来た気がする
Re: (スコア:2)
ちゃう ショートメールで来た認証番号をPCに入力だった
Re:認証用URLのコピペ、か (スコア:2)
なるほど、ショートメールですか
電番認証ですね
しかし結局それってPINって呼ぶもん
なんですかね
PINの定義ってなんなんだろう
適当にググるとネットワークに流れない暗証番号、とか
SMSならインタネットには流れないからPINと呼べるんかなぁ
Re:認証用URLのコピペ、か (スコア:1)
>PINの定義ってなんなんだろう
>適当にググるとネットワークに流れない暗証番号、とか
>SMSならインタネットには流れないからPINと呼べるんかなぁ
ネット経由loginでPINを求めるサイトはたまにありますね。
一度「PINって何ですか?」とサポートに聞いたら「暗証番号です」と言われた。
そこも二段階認証になって、SMSで流されてくる数字を入れる形式に変更されてた。