アカウント名:
パスワード:
ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。その場合はコードを少し複雑にした方がいいけど。
> ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。
多要素でもワンタイムパスワードでもなくても、サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば自動攻撃はブロックできるでしょう。
多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?
アメリカじゃSMS認証は詐称可能なので重要な用途では非推奨らしいし。日本の携帯ネットワークでは一応大丈夫っぽいけど。
サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば自動攻撃はブロックできるでしょう。
それが徹底されていないから自動攻撃がブロックできないわけでしょう?それで、もうそれってサービス提供側でコントロールできないし誰が悪かろうが実際に攻撃通っちゃってるよねって現実から、多要素認証の採用が伸びている。
その背景がある前提で、#3677609のコメントがある。経路を論じるのは避けて、ワンタイムパスワードとした。そういう問いかけ。
> それが徹底されていないから自動攻撃がブロックできないわけでしょう?
もちろんその通りで、だから #3677841 では
>> 多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?
って書いてるわけですよ。読み落としました?
> その背景がある前提で、#3677609のコメントがある。> 経路を論じるのは避けて、ワンタイムパスワードとした。そういう問いかけ。
#3677609 には明示的に書かれていないその『暗黙の』前提を、#3677841 では
>> サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば
と明確化しているわけです。
#3677609 は、ふつうのユーザー向けで、多要素ではなくワンタイムパスワード1要素認証を使う話、#3677841 は、ふつうじゃないユーザー向けの話で、両者は扱ってる対象が別なので普通に両立します。
すまん、俺は馬鹿だからあなたが何を訴えたいのかさっぱりわからぬ。
のだとして、それは
ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。
これが何か正しいとか違うとか、関連する話をした訳ではなかったのかね。そんなことはなく、それは別にどうでもいいから俺の話を聞けということなのかね。それなら分からないでもないが…
これはMSのリサーチのストーリーなのだから、MSのようなサービス提供側の視点の話だ。パスワードを複
> ワンタイムパスワードの採用でブロックが成立するのでは、という単純な話だ。>> それを真とするなら、多要素認証におけるパスワード入力は蛇足に過ぎないとする議論にもなりうる。次の話が見えてくるのだ。
はい。書き方が悪くて伝わらなかったみたいですが、その意見に最初から賛成してます。つまり、
多要素認証ではなくてもよい例1:対象: ふつうの人認証手段: ワンタイムパスワードによる1要素認証
多要素認証ではなくてもよい例2:対象: サイトごとに異なる、十分に長いランダム生成パスワードを使ってる人認証手段: 通常のパスワードによる1要素認証
の例2を追加していたんです。
> これが何か正しいとか違うとか、関連する話をした訳ではなかったのかね。
最初から正しいと考えてました。多要素でなくてもよい例を追加するという意味での関連する話だったんです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
多要素でなくても (スコア:0)
ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。
その場合はコードを少し複雑にした方がいいけど。
Re: (スコア:0)
> ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。
多要素でもワンタイムパスワードでもなくても、
サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば
自動攻撃はブロックできるでしょう。
多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?
アメリカじゃSMS認証は詐称可能なので重要な用途では非推奨らしいし。
日本の携帯ネットワークでは一応大丈夫っぽいけど。
Re: (スコア:0)
サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば
自動攻撃はブロックできるでしょう。
それが徹底されていないから自動攻撃がブロックできないわけでしょう?
それで、もうそれってサービス提供側でコントロールできないし誰が悪かろうが
実際に攻撃通っちゃってるよねって現実から、多要素認証の採用が伸びている。
その背景がある前提で、#3677609のコメントがある。
経路を論じるのは避けて、ワンタイムパスワードとした。そういう問いかけ。
Re: (スコア:0)
> それが徹底されていないから自動攻撃がブロックできないわけでしょう?
もちろんその通りで、だから #3677841 では
>> 多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?
って書いてるわけですよ。
読み落としました?
> その背景がある前提で、#3677609のコメントがある。
> 経路を論じるのは避けて、ワンタイムパスワードとした。そういう問いかけ。
#3677609 には明示的に書かれていないその『暗黙の』前提を、#3677841 では
>> サイトごとに異なる、十分に長いランダム生成パスワードを使ってれば
と明確化しているわけです。
#3677609 は、ふつうのユーザー向けで、多要素ではなくワンタイムパスワード1要素認証を使う話、
#3677841 は、ふつうじゃないユーザー向けの話で、
両者は扱ってる対象が別なので普通に両立します。
Re: (スコア:0)
すまん、俺は馬鹿だからあなたが何を訴えたいのかさっぱりわからぬ。
多要素認証って、それをやってない(ある意味ふつうの)ユーザー向けなんじゃ?
のだとして、それは
ワンタイムパスワードの1要素認証でも自動攻撃はブロックできそうな気がする。
これが何か正しいとか違うとか、関連する話をした訳ではなかったのかね。
そんなことはなく、それは別にどうでもいいから俺の話を聞けということなのかね。それなら分からないでもないが…
これはMSのリサーチのストーリーなのだから、MSのようなサービス提供側の視点の話だ。
パスワードを複
Re:多要素でなくても (スコア:0)
> ワンタイムパスワードの採用でブロックが成立するのでは、という単純な話だ。
>
> それを真とするなら、多要素認証におけるパスワード入力は蛇足に過ぎないとする議論にもなりうる。次の話が見えてくるのだ。
はい。
書き方が悪くて伝わらなかったみたいですが、その意見に最初から賛成してます。
つまり、
多要素認証ではなくてもよい例1:
対象: ふつうの人
認証手段: ワンタイムパスワードによる1要素認証
多要素認証ではなくてもよい例2:
対象: サイトごとに異なる、十分に長いランダム生成パスワードを使ってる人
認証手段: 通常のパスワードによる1要素認証
の例2を追加していたんです。
> これが何か正しいとか違うとか、関連する話をした訳ではなかったのかね。
最初から正しいと考えてました。
多要素でなくてもよい例を追加するという意味での関連する話だったんです。