アカウント名:
パスワード:
OTP同期機能って必要なのか?ってのが実装時の感想だったわ。エクスポート機能で何台でも複製できるじゃないか。実際、バックアップ端末をこれで2台確保してる。エクスポート元を強制削除しなけりゃならないわけじゃないし。
OTPの仕組みを理解してない素人が、たった一台のOTP端末を壊したり紛失したりすると詰む。そのサポートにかかる費用を考えてみてくれ。
ひっくるめて無駄な機能だよね
無駄感はあるんだけど、いろいろ不勉強なので
・googleアカウントって、個人用と商用と両方あるんだっけ?・商用があるなら、管理者にはOTP同期有効/無効のグループポリシー設定みたいなのあるのかな?まだないのかな?・Retoolっていうのは、日本ではサイボウズ社みたいなグループウェアやノーコード製品の会社なのかな?
いろいろ気になった(タレコミのリンク先記事はまだ読んでいない)
ジャパニーズトラディショナルカンパニーはそういう無駄なところに無限に金を注ぎ込むけど、Googleのサポートなんてbotに丸投げしてるだけじゃん
#4531171の言ってるサポートってGoogleのサポートのことじゃなくて、OTPで運用している組織からその構成員へのサポートのことだろ。
今回の攻撃の成立はOTPの仕組みの理解不足によるところが大きい。そのサポートにかかる費用は支払うべきものなのでは。
他要素認証に使う端末はパスワードや生体認証でロックされる前提です。また端末がロックされていてもAuthenticatorアプリを使用する際別途パスワードや生体認証を要求されます。つまり本人が騙されてるか殺されたか脅されてるか裏切ったか端末を認証無しで使えるようにしている場合を除き安全というわけです。
エクスポート/インポートの方が脆弱だって考えかな?データを誰でも利用可能な瞬間が存在するし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
Google Authenticator を複数デバイスで利用 (スコア:0)
OTP同期機能って必要なのか?ってのが実装時の感想だったわ。
エクスポート機能で何台でも複製できるじゃないか。
実際、バックアップ端末をこれで2台確保してる。
エクスポート元を強制削除しなけりゃならないわけじゃないし。
Re:Google Authenticator を複数デバイスで利用 (スコア:1)
OTPの仕組みを理解してない素人が、たった一台のOTP端末を壊したり紛失したりすると詰む。
そのサポートにかかる費用を考えてみてくれ。
Re: (スコア:0)
ひっくるめて無駄な機能だよね
Re: (スコア:0)
無駄感はあるんだけど、いろいろ不勉強なので
・googleアカウントって、個人用と商用と両方あるんだっけ?
・商用があるなら、管理者にはOTP同期有効/無効のグループポリシー設定みたいなのあるのかな?まだないのかな?
・Retoolっていうのは、日本ではサイボウズ社みたいなグループウェアやノーコード製品の会社なのかな?
いろいろ気になった(タレコミのリンク先記事はまだ読んでいない)
Re: (スコア:0)
ジャパニーズトラディショナルカンパニーはそういう無駄なところに無限に金を注ぎ込むけど、Googleのサポートなんてbotに丸投げしてるだけじゃん
Re: (スコア:0)
#4531171の言ってるサポートってGoogleのサポートのことじゃなくて、OTPで運用している組織からその構成員へのサポートのことだろ。
Re: (スコア:0)
今回の攻撃の成立はOTPの仕組みの理解不足によるところが大きい。
そのサポートにかかる費用は支払うべきものなのでは。
Re: (スコア:0)
他要素認証に使う端末はパスワードや生体認証でロックされる前提です。
また端末がロックされていてもAuthenticatorアプリを使用する際別途パスワードや生体認証を要求されます。
つまり本人が騙されてるか殺されたか脅されてるか裏切ったか端末を認証無しで使えるようにしている場合を除き安全というわけです。
Re: (スコア:0)
エクスポート/インポートの方が脆弱だって考えかな?
データを誰でも利用可能な瞬間が存在するし。