アカウント名:
パスワード:
ぐぐったら分かったけどTwitterのブログ見ても何なんだかさっぱりだった。ハードウエアキーとなるUSBドングルがあるのね。https://japan.cnet.com/article/35167850/ [cnet.com]
#パスワードのみの一段階認証でTwitter使ってる身としては異世界感が大きい
ブログの方にはFIDOとWebAuthnというキーワードがあるけど、twitter.comの2要素認証設定画面ではどういった規格に準拠しているのか明記されておらず、
と自分で読み替えなきゃいけない。Twitterは万事がこんな感じで理解できないことが多々ある。例えばマウスコンピューターのWindows Hello対応指紋認証リーダー「FP01」は利用できない。ところがWindows Hello対応でFIDO対応を謳ってなくてもTwitter対応を謳っている指紋認証リーダー [amazon.co.jp]などもあり意味不明。
たぶんこれFIDO2やUAF対応は必要なくてU2Fにさえ対応していればセキュリティキーとして利用できるんじゃないかな
手持ちのU2Fのキーで登録可能だった。※FIDOキー、うちに8本ぐらいあるw
Google認証アプリ2台にインスコしてりゃいいじゃん強垢、営業垢とか乗っ取られたらダメージ大きい場合ぜひ設定しとくべき
GoogleとMicrosoftのを1台に入れるのでは駄目なん?
グンマーなら可能
純粋な疑問なんだけど、スマホとセキュリティキーを両方持ち歩いてるの?セキュリティキーを無くしたら、(家に予備があるとしても)外出先ではログインできなくなるの?てか、Twitterとかのスマホアプリなんかは一度ログインしたら、だいたいログインしっぱなしじゃないの?ログインしっぱなしでセキュリティキーを滅多に使わないってなったら、どこにしまったかわからない、無くなってることに気づかないってならないの?
一応、スマホもセキュリティキーも持ち歩いてますが、どちらかなくしても大丈夫なヌルイ運用してます。※セキュリティキーは「鍵束」にまとめてます。
ユーザーがパスワードを指定する方式なので、複数のサイトでパスワード使いまわしが問題になるサーバ側がパスワードを指定する方式、もしくはユーザー指定パスワードとサーバ指定パスワードの2つで認証する方式なら、2段階認証しなくても不正利用リスクは少ない
サーバは、ランダム生成したパスワードを、一定のエントロピーチェックおよび辞書チェックを行い、問題ないものをユーザーに付与する
その結果「パスワード付箋」が横行するわけですね?
自分で決めた文字列なら20桁くらい平気だけど、ランダム(?)な文字列は10桁でもきついかなぁ。
マイナンバーカードをパスワードの代わりに使えたらいいのにねマイナンバーを使うのではなく、マイナンバーとは関係なく、物理キーとして使える別の機能を一緒に入れる
クライアント証明書入ってれば十分ではいろんな所に使うと更新手続きが煩雑そうだけど
CRLで次の証明書はこれです、ってのも配りたい。
マイキーIDというのが実装されている
同じ人かは知りませんが、定期的にこの手の主張が出てはツッコミを受けてますねhttps://srad.jp/comment/3751785 [srad.jp]
誰もバックアップ不要だなんて言ってねーよ、バックアップの2要素認証の登録が不要だつってんのちなみにこれ編集者の主張じゃなくてソースのTwitter公式ブログに書いてあることだからなセキュリティーキーを紛失したら2要素認証登録時に発行されるバックアップコードを使えよhttps://help.twitter.com/ja/managing-your-account/issues-with-login-au... [twitter.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
セキュリティキーって何ぞ? (スコア:3, 参考になる)
ぐぐったら分かったけどTwitterのブログ見ても何なんだかさっぱりだった。
ハードウエアキーとなるUSBドングルがあるのね。
https://japan.cnet.com/article/35167850/ [cnet.com]
#パスワードのみの一段階認証でTwitter使ってる身としては異世界感が大きい
Re:セキュリティキーって何ぞ? (スコア:2, 参考になる)
ブログの方にはFIDOとWebAuthnというキーワードがあるけど、twitter.comの2要素認証設定画面ではどういった規格に準拠しているのか明記されておらず、
と自分で読み替えなきゃいけない。Twitterは万事がこんな感じで理解できないことが多々ある。
例えばマウスコンピューターのWindows Hello対応指紋認証リーダー「FP01」は利用できない。
ところがWindows Hello対応でFIDO対応を謳ってなくてもTwitter対応を謳っている指紋認証リーダー [amazon.co.jp]などもあり意味不明。
Re: (スコア:0)
たぶんこれFIDO2やUAF対応は必要なくてU2Fにさえ対応していればセキュリティキーとして利用できるんじゃないかな
あたり (スコア:0)
手持ちのU2Fのキーで登録可能だった。
※FIDOキー、うちに8本ぐらいあるw
別に... (スコア:0)
Google認証アプリ2台にインスコしてりゃいいじゃん
強垢、営業垢とか乗っ取られたらダメージ大きい場合ぜひ設定しとくべき
Re: (スコア:0)
GoogleとMicrosoftのを1台に入れるのでは駄目なん?
Re: (スコア:0)
グンマーなら可能
スマホでハードウェアセキュリティキー使ってる人いる? (スコア:0)
純粋な疑問なんだけど、スマホとセキュリティキーを両方持ち歩いてるの?
セキュリティキーを無くしたら、(家に予備があるとしても)外出先ではログインできなくなるの?
てか、Twitterとかのスマホアプリなんかは一度ログインしたら、だいたいログインしっぱなしじゃないの?
ログインしっぱなしでセキュリティキーを滅多に使わないってなったら、どこにしまったかわからない、無くなってることに気づかないってならないの?
Re: (スコア:0)
一応、スマホもセキュリティキーも持ち歩いてますが、どちらかなくしても大丈夫なヌルイ運用してます。
※セキュリティキーは「鍵束」にまとめてます。
サーバ指定パスワードを導入しろ (スコア:0)
ユーザーがパスワードを指定する方式なので、複数のサイトでパスワード使いまわしが問題になる
サーバ側がパスワードを指定する方式、もしくはユーザー指定パスワードとサーバ指定パスワードの2つで認証する方式なら、
2段階認証しなくても不正利用リスクは少ない
サーバは、ランダム生成したパスワードを、一定のエントロピーチェックおよび辞書チェックを行い、
問題ないものをユーザーに付与する
Re:サーバ指定パスワードを導入しろ (スコア:1)
その結果「パスワード付箋」が横行するわけですね?
自分で決めた文字列なら20桁くらい平気だけど、ランダム(?)な文字列は10桁でもきついかなぁ。
Re: (スコア:0)
マイナンバーカードをパスワードの代わりに使えたらいいのにね
マイナンバーを使うのではなく、マイナンバーとは関係なく、物理キーとして使える別の機能を一緒に入れる
Re: (スコア:0)
クライアント証明書入ってれば十分では
いろんな所に使うと更新手続きが煩雑そうだけど
CRLで次の証明書はこれです、ってのも配りたい。
Re: (スコア:0)
マイキーIDというのが実装されている
Re: (スコア:0)
同じ人かは知りませんが、定期的にこの手の主張が出てはツッコミを受けてますね
https://srad.jp/comment/3751785 [srad.jp]
Re:バックアップ不要とはなにごと (スコア:1)
誰もバックアップ不要だなんて言ってねーよ、バックアップの2要素認証の登録が不要だつってんの
ちなみにこれ編集者の主張じゃなくてソースのTwitter公式ブログに書いてあることだからな
セキュリティーキーを紛失したら2要素認証登録時に発行されるバックアップコードを使えよ
https://help.twitter.com/ja/managing-your-account/issues-with-login-au... [twitter.com]