パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9%がブロックできる」記事へのコメント

  • by Anonymous Coward on 2019年08月30日 8時39分 (#3677609)

    ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。
    その場合はコードを少し複雑にした方がいいけど。

    • by Anonymous Coward

      以前bot対策として使われてたCHAPTAが下火になった理由のひとつは自動で突破できるようになったかららしいし、ワンタイムパスワードも広く使われるようになるとコストかけてでも突破方法を考えつく可能性はあると思う。

      • by Anonymous Coward

        サーバーサイドでチェックせずJavascriptだけの場合はAdblockでReCAPTCHAの要素を隠しちゃえば、突破できるというガバガバシステムwwww
        メルカリのウェブ版ログインページとかそうだな

    • by Anonymous Coward

      > ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。

      多要素でもワンタイムパスワードでもなくても、
      サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば
      自動攻撃はブロックできるでしょう。

      多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?

      アメリカじゃSMS認証は詐称可能なので重要な用途では非推奨らしいし。
      日本の携帯ネットワークでは一応大丈夫っぽいけど。

      • by Anonymous Coward

        訂正。

        > アメリカじゃSMS認証は詐称可能なので重要な用途では非推奨らしいし。

        非推奨は言い過ぎで、条件付きで使用してもよい…でした。
        条件は、以下のすべてを満たす場合とのこと
        ・他の認証方式と併せて利用する
        ・危険性について評価し、その結果を利用者に公表する
        ・代替の方法を用意しておく

        ソースはこちら。
        https://www.itmedia.co.jp/news/articles/1904/08/news026_2.html [itmedia.co.jp]

        > SMS認証を採用したサービスへの不正アクセス事件は、国内ではまだ聞きませんが、海外では発生しています。

        だそうで。

      • by Anonymous Coward

        サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば
        自動攻撃はブロックできるでしょう。

        それが徹底されていないから自動攻撃がブロックできないわけでしょう?
        それで、もうそれってサービス提供側でコントロールできないし誰が悪かろうが
        実際に攻撃通っちゃってるよねって現実から、多要素認証の採用が伸びている。

        その背景がある前提で、#3677609のコメントがある。
        経路を論じるのは避けて、ワンタイムパスワードとした。そういう問いかけ。

        • by Anonymous Coward

          > それが徹底されていないから自動攻撃がブロックできないわけでしょう?

          もちろんその通りで、だから #3677841 では

          >> 多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?

          って書いてるわけですよ。
          読み落としました?

          > その背景がある前提で、#3677609のコメントがある。
          > 経路を論じるのは避けて、ワンタイムパスワードとした。そういう問いかけ。

          #3677609 には明示的に書かれていないその『暗黙の』前提を、#3677841 では

          >> サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば

          と明確化しているわけです。

          #3677609 は、ふつうのユーザー向けで、多要素ではなくワンタイムパスワード1要素認証を使う話、
          #3677841 は、ふつうじゃないユーザー向けの話で、
          両者は扱ってる対象が別なので普通に両立します。

          • by Anonymous Coward

            すまん、俺は馬鹿だからあなたが何を訴えたいのかさっぱりわからぬ。

            多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?

            のだとして、それは

            ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。

            これが何か正しいとか違うとか、関連する話をした訳ではなかったのかね。
            そんなことはなく、それは別にどうでもいいから俺の話を聞けということなのかね。それなら分からないでもないが…

            これはMSのリサーチのストーリーなのだから、MSのようなサービス提供側の視点の話だ。
            パスワードを複

            • by Anonymous Coward

              > ワンタイムパスワードの採用でブロックが成立するのでは、という単純な話だ。
              >
              > それを真とするなら、多要素認証におけるパスワード入力は蛇足に過ぎないとする議論にもなりうる。次の話が見えてくるのだ。

              はい。
              書き方が悪くて伝わらなかったみたいですが、その意見に最初から賛成してます。
              つまり、

              多要素認証ではなくてもよい例1:
              対象: ふつうの人
              認証手段: ワンタイムパスワードによる1要素認証

              多要素認証ではなくてもよい例2:
              対象: サイトごとに異なる、十分に長いランダム生成パスワードを使ってる人
              認証手段: 通常のパスワードによる1要素認証

              の例2を追加していたんです。

              > これが何か正しいとか違うとか、関連する話をした訳ではなかったのかね。

              最初から正しいと考えてました。
              多要素でなくてもよい例を追加するという意味での関連する話だったんです。

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...