アカウント名:
パスワード:
どこの段階で防ぐべきだっただろうか。
・cookieを盗まれない → 未知の脆弱性もあるだろうし、ここで100%防衛は無理。・チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手 → やっぱここか。
「携帯電話無くしたんだけど」ってオレオレ詐欺ばりの手口にひっかかるのがダメってことか。うちの会社だと、社内で受け取りか、社内システムに事前登録した住所への送付しか選択肢が無い。
・可能なら境界性防御も組み合わせる。・IPレンジが大きく変わったらCookieを無効にして再認証させる・重要なトークンの再発行はコールバックする・社員証などを提示させる
社内用の手続きなら何らかの方法でコールバックさせるのが一番楽かな。(携帯を無くしたならメールとか。)そこをスキップさせようとするなら物理ID提示させる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
どこで防ぐべきか (スコア:1)
どこの段階で防ぐべきだっただろうか。
・cookieを盗まれない
→ 未知の脆弱性もあるだろうし、ここで100%防衛は無理。
・チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手
→ やっぱここか。
「携帯電話無くしたんだけど」ってオレオレ詐欺ばりの手口にひっかかるのがダメってことか。
うちの会社だと、社内で受け取りか、社内システムに事前登録した住所への送付しか選択肢が無い。
Re:どこで防ぐべきか (スコア:1)
・可能なら境界性防御も組み合わせる。
・IPレンジが大きく変わったらCookieを無効にして再認証させる
・重要なトークンの再発行はコールバックする
・社員証などを提示させる
社内用の手続きなら何らかの方法でコールバックさせるのが一番楽かな。(携帯を無くしたならメールとか。)そこをスキップさせようとするなら物理ID提示させる。
[Q][W][E][R][T][Y]