アカウント名:
パスワード:
ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。その場合はコードを少し複雑にした方がいいけど。
> ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。
多要素でもワンタイムパスワードでもなくても、サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば自動攻撃はブロックできるでしょう。
多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?
アメリカじゃSMS認証は詐称可能なので重要な用途では非推奨らしいし。日本の携帯ネットワークでは一応大丈夫っぽいけど。
訂正。
> アメリカじゃSMS認証は詐称可能なので重要な用途では非推奨らしいし。
非推奨は言い過ぎで、条件付きで使用してもよい…でした。条件は、以下のすべてを満たす場合とのこと・他の認証方式と併せて利用する・危険性について評価し、その結果を利用者に公表する・代替の方法を用意しておく
ソースはこちら。https://www.itmedia.co.jp/news/articles/1904/08/news026_2.html [itmedia.co.jp]
> SMS認証を採用したサービスへの不正アクセス事件は、国内ではまだ聞きませんが、海外では発生しています。
だそうで。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
多要素でなくても (スコア:0)
ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。
その場合はコードを少し複雑にした方がいいけど。
Re: (スコア:0)
> ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。
多要素でもワンタイムパスワードでもなくても、
サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば
自動攻撃はブロックできるでしょう。
多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?
アメリカじゃSMS認証は詐称可能なので重要な用途では非推奨らしいし。
日本の携帯ネットワークでは一応大丈夫っぽいけど。
Re:多要素でなくても (スコア:0)
訂正。
> アメリカじゃSMS認証は詐称可能なので重要な用途では非推奨らしいし。
非推奨は言い過ぎで、条件付きで使用してもよい…でした。
条件は、以下のすべてを満たす場合とのこと
・他の認証方式と併せて利用する
・危険性について評価し、その結果を利用者に公表する
・代替の方法を用意しておく
ソースはこちら。
https://www.itmedia.co.jp/news/articles/1904/08/news026_2.html [itmedia.co.jp]
> SMS認証を採用したサービスへの不正アクセス事件は、国内ではまだ聞きませんが、海外では発生しています。
だそうで。