アカウント名:
パスワード:
ID/PASSだけで認証しようとするから起こる問題でしょ。ID/PASS認証に加えて登録された端末にワンタイムパスフレーズを送信する二段階認証にすれば、辞書攻撃でPASSを何度間違われてもLOCKOUTの必要はない。
パスワードが判明するからあまり良くない。例えばパスワードを調べた後にスマホなどを短時間(無断)借用してイタズラできる。多段階認証にすべきではあるけど、それとは別にパスワードのブルートフォース攻撃や辞書攻撃対策は必要。
この条件での二段階認証有効化は全ユーザー必須が前提になるんじゃない?そうすればパスワードが間違っててもワンタイムパス入力は必須になる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
二段階認証ノススメ (スコア:0)
ID/PASSだけで認証しようとするから起こる問題でしょ。
ID/PASS認証に加えて登録された端末にワンタイムパスフレーズを送信する二段階認証にすれば、
辞書攻撃でPASSを何度間違われてもLOCKOUTの必要はない。
Re: (スコア:0)
パスワードが判明するからあまり良くない。
例えばパスワードを調べた後にスマホなどを短時間(無断)借用してイタズラできる。
多段階認証にすべきではあるけど、それとは別にパスワードのブルートフォース攻撃や辞書攻撃対策は必要。
Re:二段階認証ノススメ (スコア:0)
この条件での二段階認証有効化は全ユーザー必須が前提になるんじゃない?
そうすればパスワードが間違っててもワンタイムパス入力は必須になる。