アカウント名:
パスワード:
二段階認証が必要になる最大の原因は、ログインID メールアドレスパスワード ユーザーが指定した文字列となってしまうこと多くのユーザーが、よくあるパスワードや、他のサイトと共通のパスワードを使ってるなのでリスト攻撃やら、他から漏れたアカウント情報でログインが簡単に成り立つ
ログインID メールアドレスパスワード1 ユーザーが指定した文字列パスワード2 サーバが付与したランダム文字列
みたいに、サーバ指定文字を入れればいい
二段階認証と二要素認証は、横方向に認証方式が広がる=スケールアウトしてるから安全。パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。フィッシングやられたら一発アウト。やりなおし。
> パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。リスト型攻撃やブルートフォース攻撃を防げるので、「セキュリティは上がってない」は大嘘。そもそも、攻撃の大半はリスト型で、フィッシングを遥かに上回るリスクです。
> フィッシングやられたら一発アウト。それは、OTPも同じ。
スマホアプリのタイムベースのワンタイムパスワード生成(Google 認証システム)は、シークレットキーと時刻を基にワンタイムパスワードを生成する仕組みであって、そのもととなるシークレットキーはスマホのアプリ領域に保存されてます。root化すればシークレットキーをぶっこ抜いて任意の時刻のOTPを生成可能です。
サーバが付与したランダム文字列を求める方式とOTPを比較するとすると、
・パスワードリスト化攻撃両方とも防げる
・フィッシングOTPの方が多少マシだが、OTPも中継型フィッシングは防げないのでフィッシング詐欺になるという考えは有害(ユーザーがフィッシング詐欺サイトにOTPを入れたら30秒以内に中継されて攻撃される)
・マルウェア感染OTPは、PCでログインしてスマホでOTP生成など、2要素になっていれば安全性が高いが両方スマホだとAndroidの脆弱性突かれてOTP生成前のシークレットキーそのものとブラウザ保存パスワードが両方打バレれることもある
今時、どの銀行も二要素認証対応ですが、ワンタイムパスワード形式の場合、中継型フィッシングによる不正送金が多発してますhttps://www.jc3.or.jp/topics/banking/phishing.html [jc3.or.jp]
みずほ銀行が導入しているような物理トークンによるトランザクション署名(振込先口座番号もトークンに入力する方式)のような方式や二経路でトランザクションを承認する方式でないと安全ではありませんGoogleなんかも、PCでログインして、スマホでログインを「承認」する操作をするような認証方式の導入を始めてます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
二段階認証よりサーバが付与したランダムパスワードのほうがいい (スコア:0)
二段階認証が必要になる最大の原因は、
ログインID メールアドレス
パスワード ユーザーが指定した文字列
となってしまうこと
多くのユーザーが、よくあるパスワードや、他のサイトと共通のパスワードを使ってる
なのでリスト攻撃やら、他から漏れたアカウント情報でログインが簡単に成り立つ
ログインID メールアドレス
パスワード1 ユーザーが指定した文字列
パスワード2 サーバが付与したランダム文字列
みたいに、サーバ指定文字を入れればいい
Re: (スコア:0)
二段階認証と二要素認証は、横方向に認証方式が広がる=スケールアウトしてるから安全。
パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。
フィッシングやられたら一発アウト。
やりなおし。
OTPは万能ではない (スコア:0)
> パスワードをふやす=スケールアップなのは縦に複雑になっただけでセキュリティは上がってない。
リスト型攻撃やブルートフォース攻撃を防げるので、「セキュリティは上がってない」は大嘘。
そもそも、攻撃の大半はリスト型で、フィッシングを遥かに上回るリスクです。
> フィッシングやられたら一発アウト。
それは、OTPも同じ。
スマホアプリのタイムベースのワンタイムパスワード生成(Google 認証システム)は、
シークレットキーと時刻を基にワンタイムパスワードを生成する仕組みであって、
そのもととなるシークレットキーはスマホのアプリ領域に保存されてます。
root化すればシークレットキーをぶっこ抜いて任意の時刻のOTPを生成可能です。
サーバが付与したランダム文字列を求める方式とOTPを比較するとすると、
・パスワードリスト化攻撃
両方とも防げる
・フィッシング
OTPの方が多少マシだが、OTPも中継型フィッシングは防げないのでフィッシング詐欺になるという考えは有害
(ユーザーがフィッシング詐欺サイトにOTPを入れたら30秒以内に中継されて攻撃される)
・マルウェア感染
OTPは、PCでログインしてスマホでOTP生成など、2要素になっていれば安全性が高いが
両方スマホだとAndroidの脆弱性突かれてOTP生成前のシークレットキーそのものとブラウザ保存パスワードが両方打バレれることもある
今時、どの銀行も二要素認証対応ですが、ワンタイムパスワード形式の場合、中継型フィッシングによる不正送金が多発してます
https://www.jc3.or.jp/topics/banking/phishing.html [jc3.or.jp]
みずほ銀行が導入しているような物理トークンによるトランザクション署名(振込先口座番号もトークンに入力する方式)のような方式や二経路でトランザクションを承認する方式でないと安全ではありません
Googleなんかも、PCでログインして、スマホでログインを「承認」する操作をするような認証方式の導入を始めてます。