アカウント名:
パスワード:
ID/PASSだけで認証しようとするから起こる問題でしょ。ID/PASS認証に加えて登録された端末にワンタイムパスフレーズを送信する二段階認証にすれば、辞書攻撃でPASSを何度間違われてもLOCKOUTの必要はない。
二段階と言っても様々な手法があるし、それぞれの手法でメリットもデメリットがある。
セキュリティはトレードオフの問題なので、様々な手法が選べることが大切。二要素と言わず、複数の要素を自由に組み合わせ可能であることが望ましい。
あと、既に SMS 認証は NIST から非推奨の方針が出ている [srad.jp]。
パスワードが判明するからあまり良くない。例えばパスワードを調べた後にスマホなどを短時間(無断)借用してイタズラできる。多段階認証にすべきではあるけど、それとは別にパスワードのブルートフォース攻撃や辞書攻撃対策は必要。
この条件での二段階認証有効化は全ユーザー必須が前提になるんじゃない?そうすればパスワードが間違っててもワンタイムパス入力は必須になる。
無断借用できるんなら、パスワード調べるまでもなくブラウザが覚えてるだろ
これは余計悪いな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
二段階認証ノススメ (スコア:0)
ID/PASSだけで認証しようとするから起こる問題でしょ。
ID/PASS認証に加えて登録された端末にワンタイムパスフレーズを送信する二段階認証にすれば、
辞書攻撃でPASSを何度間違われてもLOCKOUTの必要はない。
二段階ではなく多要素 (スコア:2)
二段階と言っても様々な手法があるし、
それぞれの手法でメリットもデメリットがある。
セキュリティはトレードオフの問題なので、様々な手法が選べることが大切。
二要素と言わず、複数の要素を自由に組み合わせ可能であることが望ましい。
あと、既に SMS 認証は NIST から非推奨の方針が出ている [srad.jp]。
uxi
Re: (スコア:0)
パスワードが判明するからあまり良くない。
例えばパスワードを調べた後にスマホなどを短時間(無断)借用してイタズラできる。
多段階認証にすべきではあるけど、それとは別にパスワードのブルートフォース攻撃や辞書攻撃対策は必要。
Re: (スコア:0)
この条件での二段階認証有効化は全ユーザー必須が前提になるんじゃない?
そうすればパスワードが間違っててもワンタイムパス入力は必須になる。
Re: (スコア:0)
無断借用できるんなら、パスワード調べるまでもなくブラウザが覚えてるだろ
Re: (スコア:0)
これは余計悪いな