アカウント名:
パスワード:
二段階認証は面倒なので、20文字前後のランダムパスワードを設定して、それをパスワードマネージャで管理してる
ランダムパスワードはブルートフォース攻撃にはまあまあ強くても流出されたりフィッシングに引っかかったりしたときに無力だから二段階認証しとけって
2段階でもTOTPとかだと、リアルタイムで裏でログイン試行されたらフィッシングには同じように無力だよね。
TOTPでもログインしようとしている端末以外から入力可能だとは思えないんだけど、「裏でログイン試行」って具体的にはどんなものなのか教えてほしい
一番単純な方法なら、全部本物のサイトにリバースプロキシしてるフィッシングサイトを作れば、ログイン情報の入力もTOTPの入力もフィッシングサイト上でユーザーに行わさせて、そのままログインセッションを奪える。
それってほとんどの二段階認証に言えることで「2段階でもTOTPとかだと~」って話ではないような気がするんだけど
専用アプリでログイン承認をするタイプや、メールやSMSを送信して承認URLを踏ませるタイプには当てはまらないわけで、ほとんどに当てはまるとは全く言えない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
ランダムパスワードが最強 (スコア:0)
二段階認証は面倒なので、20文字前後のランダムパスワードを設定して、
それをパスワードマネージャで管理してる
Re: (スコア:0)
ランダムパスワードはブルートフォース攻撃にはまあまあ強くても
流出されたりフィッシングに引っかかったりしたときに無力だから二段階認証しとけって
Re:ランダムパスワードが最強 (スコア:0)
2段階でもTOTPとかだと、リアルタイムで裏でログイン試行されたらフィッシングには同じように無力だよね。
Re: (スコア:0)
TOTPでもログインしようとしている端末以外から入力可能だとは思えないんだけど、「裏でログイン試行」って具体的にはどんなものなのか教えてほしい
Re: (スコア:0)
一番単純な方法なら、全部本物のサイトにリバースプロキシしてるフィッシングサイトを作れば、ログイン情報の入力もTOTPの入力もフィッシングサイト上でユーザーに行わさせて、そのままログインセッションを奪える。
Re: (スコア:0)
それってほとんどの二段階認証に言えることで「2段階でもTOTPとかだと~」って話ではないような気がするんだけど
Re: (スコア:0)
専用アプリでログイン承認をするタイプや、メールやSMSを送信して承認URLを踏ませるタイプには当てはまらないわけで、ほとんどに当てはまるとは全く言えない。