アカウント名:
パスワード:
SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?どこかで勘違いしてそうなのでどなたか教えてください
SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?
本来そうあるべきなのですが、2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多いのです。
個人向けのWebサービスの多くは、パスワードを忘れた場合のリセットコードを音声通話やSMSでも受け取れるようになるので(電話番号を登録していない場合は登録メールアドレスへの電子メールのみで受け取れる)、2要素認証を有効にするために電話番号を登録すると、安全なパスワードをきちんと管理しているケースではかえって脆弱になる
電話番号登録せずに強いパスワードのほうが現実的ってことか。
でも「強いパスワード」ってなんだ?
"aimstroooong"
#パロディウスだ!
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
2要素認証 (スコア:1)
SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?
どこかで勘違いしてそうなのでどなたか教えてください
2要素認証を有効にするために電話番号を登録すると、かえって脆弱になるサービスも多い (スコア:5, 参考になる)
本来そうあるべきなのですが、2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多いのです。
個人向けのWebサービスの多くは、パスワードを忘れた場合のリセットコードを音声通話やSMSでも受け取れるようになるので(電話番号を登録していない場合は登録メールアドレスへの電子メールのみで受け取れる)、2要素認証を有効にするために電話番号を登録すると、安全なパスワードをきちんと管理しているケースではかえって脆弱になる
Re:2要素認証を有効にするために電話番号を登録すると、かえって脆弱になるサービスも多い (スコア:0)
電話番号登録せずに強いパスワードのほうが現実的ってことか。
でも「強いパスワード」ってなんだ?
Re: (スコア:0)
"aimstroooong"
#パロディウスだ!