アカウント名:
パスワード:
Yahoo! Japan IDとかのオープンIDって二段階認証が強要されるわけではないので、多くの二段階認証を設定していない人の場合、メールアドレスとパスワードだけでログインできちゃいます。この2つは使いまわしされるので「リスト型攻撃」にとっても弱いんですね。
任意の二段階認証って実際のところ、あまり意味ないですよね。二段階認証をわざわざ設定するようなユーザは、パスワードを使いまわししていない上、パスワードが強力だったりしますから。
そしてオープンIDのAPIの仕様にもよるんですが、一般的に、初めてログインする端末だとメールアドレスに確認コードを送るといった仕様を、API利用者側が追加で行うことはできません。Googleの場合はGoogle側がそういったことをやってくれますが(プロバイダと端末の両方が違う場合)、Yahoo! IDは緩いし、サイト側で条件を変えることはできません。
なので、スラドレベルのサイトだったらオープンIDを使うと便利なのでよいですが、オープンIDは決済システムには向かないと思います。オープンIDの認証に加えて、二段階認証を独自にやったりしたら余計に複雑怪奇でユーザーからすると訳の分からないシステムになっちゃいます。なので、決済システムのようなセキュリティ重視の案件ならば、独自に要件を定めて、独自に実装するのが一番ではないでしょうか。
と思ってたらまさかのアクセストークン未検証でパスワードすら不要にしていたという。バカは常に想定の斜め上を行くの見本だな
> 任意の二段階認証って実際のところ、あまり意味ないですよね。
そう思うなら、あんたは任意の2段階認証は使ってないのか?てか、それじゃタイトルと矛盾しとるやんけ。
お前の文章は「誰にとって意味がないのか」の視点が欠けてる。そして、論点がパスワード、2段階認証、OpenIDの話にコロコロ変わって最後に独自に実装が一番いいとか原始時代から車輪の発明の歴史をやり直させる気か。
たぶんこ○○し氏みたいな自称事情通が『7iDはOpenIDと接続する仕様で行くぞ!そして7iDと7payも接続する!』ってトンデモ設計を強行に主導し始めて、『うわ、こりゃ基本設計からとても責任負ってられないわ。。。』と、2018年末にSIerとベンダーが逃げ出したんでしょう(SIerとベンダーが入れ替わった報道あり)
勝ち組:発注者側自称事情通に付き合いきれないと決断し、リスク管理が正常に働いたSIer/ベンダー負け組:発注者側と一蓮托生、地獄までどこまで付き合いますよと豪語するも、実際に地獄に落ちて阿鼻叫喚なSIer/ベンダー
問題は負け組側にニッポンの名だたるSIerが名を連ねている事だなあ。。。太平洋戦争大敗の構図と全く同じで、何も学んでいない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
メールアドレスとパスワードだけでログインできるから弱い (スコア:3, 参考になる)
Yahoo! Japan IDとかのオープンIDって二段階認証が強要されるわけではないので、
多くの二段階認証を設定していない人の場合、メールアドレスとパスワードだけでログインできちゃいます。
この2つは使いまわしされるので「リスト型攻撃」にとっても弱いんですね。
任意の二段階認証って実際のところ、あまり意味ないですよね。
二段階認証をわざわざ設定するようなユーザは、パスワードを使いまわししていない上、パスワードが強力だったりしますから。
そしてオープンIDのAPIの仕様にもよるんですが、
一般的に、初めてログインする端末だとメールアドレスに確認コードを送るといった仕様を、API利用者側が追加で行うことはできません。
Googleの場合はGoogle側がそういったことをやってくれますが(プロバイダと端末の両方が違う場合)、Yahoo! IDは緩いし、サイト側で条件を変えることはできません。
なので、スラドレベルのサイトだったらオープンIDを使うと便利なのでよいですが、オープンIDは決済システムには向かないと思います。
オープンIDの認証に加えて、二段階認証を独自にやったりしたら余計に複雑怪奇でユーザーからすると訳の分からないシステムになっちゃいます。
なので、決済システムのようなセキュリティ重視の案件ならば、独自に要件を定めて、独自に実装するのが一番ではないでしょうか。
Re: (スコア:0)
と思ってたらまさかのアクセストークン未検証でパスワードすら不要にしていたという。バカは常に想定の斜め上を行くの見本だな
Re: (スコア:0)
> 任意の二段階認証って実際のところ、あまり意味ないですよね。
そう思うなら、あんたは任意の2段階認証は使ってないのか?
てか、それじゃタイトルと矛盾しとるやんけ。
お前の文章は「誰にとって意味がないのか」の視点が欠けてる。
そして、論点がパスワード、2段階認証、OpenIDの話にコロコロ変わって
最後に独自に実装が一番いいとか原始時代から車輪の発明の歴史をやり直させる気か。
Re: (スコア:0)
たぶんこ○○し氏みたいな自称事情通が『7iDはOpenIDと接続する仕様で行くぞ!そして7iDと7payも接続する!』ってトンデモ設計を強行に主導し始めて、『うわ、こりゃ基本設計からとても責任負ってられないわ。。。』と、2018年末にSIerとベンダーが逃げ出したんでしょう(SIerとベンダーが入れ替わった報道あり)
勝ち組:発注者側自称事情通に付き合いきれないと決断し、リスク管理が正常に働いたSIer/ベンダー
負け組:発注者側と一蓮托生、地獄までどこまで付き合いますよと豪語するも、実際に地獄に落ちて阿鼻叫喚なSIer/ベンダー
問題は負け組側にニッポンの名だたるSIerが名を連ねている事だなあ。。。太平洋戦争大敗の構図と全く同じで、何も学んでいない。