アカウント名:
パスワード:
今日日問題になってるのって、フィッシング詐欺とパスワードリスト攻撃でしょ?Microsoft Authenticator(TOTP)ではプロキシ型のフィッシング詐欺には対抗できないし、パスワード使い回すようなリテラシーの低いユーザーがこの機能を使うのかね?それなら複雑なパスワードを設定してパスワードマネージャに覚えさせた方が汎用性が高い。セキュリティを気にするユーザーはパスワード+Microsoft Authenticator(TOTP)の2要素認証にすればいいし、わざわざMicrosoft Authenticator(TOTP)だけにしてセキュリティレベルを落とす必要を感じないな。
ここで言ってるMicrosoft AuthenticatorはTOTPじゃない。Microsoft からのスマホへの通知。Microsoftに申請してトークンもらったアプリ/サイトから、MSに認証かけて、MSからスマホへの通知がくる。フィッシングによる認証横取りを出来なくするもの。
認証時の画面に出る番号を選択しない、認証要求に結果を返すことができないので、自分がやろうとしてる認証と、認証要求を取り違えたりする心配もない。
パスワード自体がMD5なみに無意味な存在と想定してSHA+MD5をSHAオンリーにすることがセキュリティレベルの低下につながるとは言えないみたいな感じなんじゃない
Microsoftアカウントのアプリ認証はTOTPじゃないよ。認証要求がAuthenticatorに届くので、生体認証またはPINで承認すると認証される仕組み。
Microsoft Authenticatorは、TOTPのアカウント覚えさせるのにも使えますが、Microsoftの認証にTOTP使いません。その段階から、認識まちがってますよ。
そのパスワードマネージャーの利用は手入力がかなり面倒な程度のパスワードを自度入力させること想定だよね。まあ概ね問題無く運用できるんだけど、マネージャー入ってない環境でのサインインは大変なんだよね。
16時44分~51分に掛けて同じような内容の連投(#4115522, #4115524, #4115526)なにこれこわい
なるほど、Microsoft Authenticator登録用のQRコードは
ms-msa://code=M.R3_BAY.<GUID>&uaid=<hex>&expires=<unixtime>
といった形で登録させるからRFC6238 TOTPとは完全に互換性がないのか認証がプロンプト方式だからプロキシ型のフィッシング詐欺にも効果あると
プロキシ型の巧妙化でパスワードで安全に、が危険になっちゃったってのが移り変わりの早さを感じさせますね。。#歳だなぁ
そりゃ、間違った知識を堂々と書いたらそうなるよ。
まんまと釣られて情報提供してしまったわけですね
そんなエサで俺様がクマー!\ \(⌒-⌒) (・(ェ)・ ) `つ つ (⌒( ヽ_つつ≡(⌒≡ (⌒(⌒ ズザザザ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
誰が使う想定? (スコア:0)
今日日問題になってるのって、フィッシング詐欺とパスワードリスト攻撃でしょ?
Microsoft Authenticator(TOTP)ではプロキシ型のフィッシング詐欺には対抗できないし、
パスワード使い回すようなリテラシーの低いユーザーがこの機能を使うのかね?
それなら複雑なパスワードを設定してパスワードマネージャに覚えさせた方が汎用性が高い。
セキュリティを気にするユーザーはパスワード+Microsoft Authenticator(TOTP)の2要素認証にすればいいし、
わざわざMicrosoft Authenticator(TOTP)だけにしてセキュリティレベルを落とす必要を感じないな。
Re:誰が使う想定? (スコア:3, 参考になる)
ここで言ってるMicrosoft AuthenticatorはTOTPじゃない。
Microsoft からのスマホへの通知。
Microsoftに申請してトークンもらったアプリ/サイトから、MSに認証かけて、MSからスマホへの通知がくる。
フィッシングによる認証横取りを出来なくするもの。
Re:誰が使う想定? (スコア:1)
認証時の画面に出る番号を選択しない、認証要求に結果を返すことができないので、自分がやろうとしてる認証と、認証要求を取り違えたりする心配もない。
Re: (スコア:0)
パスワード自体がMD5なみに無意味な存在と想定して
SHA+MD5をSHAオンリーにすることがセキュリティレベルの低下につながるとは言えないみたいな感じなんじゃない
Re: (スコア:0)
Microsoftアカウントのアプリ認証はTOTPじゃないよ。
認証要求がAuthenticatorに届くので、生体認証またはPINで承認すると認証される仕組み。
Re: (スコア:0)
Microsoft Authenticatorは、TOTPのアカウント覚えさせるのにも使えますが、Microsoftの認証にTOTP使いません。
その段階から、認識まちがってますよ。
Re: (スコア:0)
そのパスワードマネージャーの利用は手入力がかなり面倒な程度のパスワードを自度入力させること想定だよね。
まあ概ね問題無く運用できるんだけど、マネージャー入ってない環境でのサインインは大変なんだよね。
Re: (スコア:0)
16時44分~51分に掛けて同じような内容の連投(#4115522, #4115524, #4115526)なにこれこわい
Re:誰が使う想定? (スコア:1)
なるほど、Microsoft Authenticator登録用のQRコードは
ms-msa://code=M.R3_BAY.<GUID>&uaid=<hex>&expires=<unixtime>
といった形で登録させるからRFC6238 TOTPとは完全に互換性がないのか
認証がプロンプト方式だからプロキシ型のフィッシング詐欺にも効果あると
Re: (スコア:0)
プロキシ型の巧妙化でパスワードで安全に、が危険になっちゃったってのが移り変わりの早さを感じさせますね。。
#歳だなぁ
Re:誰が使う想定? (スコア:1)
そりゃ、間違った知識を堂々と書いたらそうなるよ。
Re: (スコア:0)
まんまと釣られて情報提供してしまったわけですね
Re: (スコア:0)
そんなエサで俺様がクマー!
\
\(⌒-⌒)
(・(ェ)・ )
`つ つ (⌒(
ヽ_つつ≡(⌒≡
(⌒(⌒
ズザザザ