アカウント名:
パスワード:
二段階認証が必要になる最大の原因は、ログインID メールアドレスパスワード ユーザーが指定した文字列となってしまうこと多くのユーザーが、よくあるパスワードや、他のサイトと共通のパスワードを使ってるなのでリスト攻撃やら、他から漏れたアカウント情報でログインが簡単に成り立つ
ログインID メールアドレスパスワード1 ユーザーが指定した文字列パスワード2 サーバが付与したランダム文字列
みたいに、サーバ指定文字を入れればいい
二段階認証と二要素認証は、横方向に認証方式が広がる=スケールアウトしてるから安全。パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。フィッシングやられたら一発アウト。やりなおし。
勝手に補足しておくと、よくあるスマホアプリを使ったMFAは> パスワード2 サーバが付与したランダム文字列に時刻を加えてハッシュを取って生成した数列を認証に使っている(RFC6238)。これの利点は以下の通り。・入力が簡単になること・フィッシングに引っかかっても「サーバが付与したランダム文字列」そのものが推測不可能になること・したがってリプレイ攻撃に対して強いこと
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
二段階認証よりサーバが付与したランダムパスワードのほうがいい (スコア:0)
二段階認証が必要になる最大の原因は、
ログインID メールアドレス
パスワード ユーザーが指定した文字列
となってしまうこと
多くのユーザーが、よくあるパスワードや、他のサイトと共通のパスワードを使ってる
なのでリスト攻撃やら、他から漏れたアカウント情報でログインが簡単に成り立つ
ログインID メールアドレス
パスワード1 ユーザーが指定した文字列
パスワード2 サーバが付与したランダム文字列
みたいに、サーバ指定文字を入れればいい
Re: (スコア:0)
二段階認証と二要素認証は、横方向に認証方式が広がる=スケールアウトしてるから安全。
パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。
フィッシングやられたら一発アウト。
やりなおし。
Re:二段階認証よりサーバが付与したランダムパスワードのほうがいい (スコア:0)
勝手に補足しておくと、よくあるスマホアプリを使ったMFAは
> パスワード2 サーバが付与したランダム文字列
に時刻を加えてハッシュを取って生成した数列を認証に使っている(RFC6238)。
これの利点は以下の通り。
・入力が簡単になること
・フィッシングに引っかかっても「サーバが付与したランダム文字列」そのものが推測不可能になること
・したがってリプレイ攻撃に対して強いこと