アカウント名:
パスワード:
「同システムには2段階認証が設定されているが、第三者のアクセスに対しても認証してしまった可能性があるという。」https://www.security-next.com/136220 [security-next.com]
HER-SYSの二段階認証はサインインのたびに電話かSMSでコードを受け取ってそれを入力するタイプっぽいけど、第三者はそれをどうやって突破したんだろう。二段階認証担当者が効いてくる相手を確認せずに無条件でコードを教えていたとか?それなら二段階認証の運用に問題がありそう。。
二段階認証じゃなくて二要素認証(多要素認証)っていう言い方にならないのはなんでだろうな。# 本当に「二段階」認証の所があったりするけど。# パスワードで認証した後に別のパスワードって何の意味が…
むしろ一段階で多要素認証してるところ少ないでしょ。SMSは100%二段階以上になってるし、認証アプリ使ってるとこも一度に入れないことの方が多い。
#IDで一要素、パスで二要素目。この二要素認証でいいよ
> むしろ一段階で多要素認証してるところ少ないでしょ。> SMSは100%二段階以上になってるし、認証アプリ使ってるとこも一度に入れないことの方が多い。
「二段階認証」はアクセス情報によって追加的な認証を求める(オンラインバンキングで振込の際にOTP入力を求める)ようなやり方のことで、単に認証要素を順番に入力する、という意味じゃない。
あと、Windows Hello とかは端末の所持認証とカメラや指紋での生体認証を同時に行っているので、「一度に多要素認証」になってる。全然例は少なくない。
> #IDで一要素、パスで二要素目。この二要素認証でいいよ
ログインIDは一般に秘密情報ではないため、認証要素とはみなされない。
SMSだけの一段階認証にしてるところわりとあるような
二段階認証じゃなくて二要素認証(多要素認証)っていう言い方にならないのはなんでだろうな。
「イデーとバズワードで二段階ですよね?」とか言われそう
GoogleやMicrosoftのドキュメントでは、2段階認証という呼称が基本になっている。
仮説で、「多要素認証」という概念が多段階と分離される前には「2段階」が通称であり、その後呼称の正確化の機運が高まっても、大企業の用語集の方は(多分混乱を避ける動機で)直ちに更新されず、それらのリーダー企業に倣ったドキュメントで未だ「段階」という用語が再生産されているのでは、と思うのだが。
それを裏付けるソースがこれと言って無く、記憶でも過去どうだったとか細かい事は覚えていない。
検索結果の数では多要素認証も拮抗していて、どちらかが基本とは言えないと思う。
最初に広まったのはGoogleが2段階認証という言葉を用いてからだね。多要素認証はあとから出てきた言葉。
ありがとうございます、リンク先下部の「次へ」ボタンに気づいておらず、記事の続きを読めていませんでした。
記事を細切れにしてページを分けるのはビューを稼いで広告収入を上げるためで、インターネットの広告モデルのダメな部分だ!(八つ当たり)。
ビューを稼いでもサイト側は広告収入は増えないのに、何を言ってるの?
広告の種類によっては、ビューだけで広告収入は増えますよ?クリックや、成功報酬の他にもビューによる収集はあります。
ページ遷移に伴って異なる次々と広告が表示されますから広告クリック数も増えますし一般的に広告収入は増えますよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
二段階認証はどうやって突破? (スコア:0)
「同システムには2段階認証が設定されているが、第三者のアクセスに対しても認証してしまった可能性があるという。」
https://www.security-next.com/136220 [security-next.com]
HER-SYSの二段階認証はサインインのたびに電話かSMSでコードを受け取ってそれを入力するタイプっぽいけど、第三者はそれをどうやって突破したんだろう。
二段階認証担当者が効いてくる相手を確認せずに無条件でコードを教えていたとか?
それなら二段階認証の運用に問題がありそう。。
Re:二段階認証はどうやって突破? (スコア:1)
二段階認証じゃなくて二要素認証(多要素認証)っていう言い方にならないのはなんでだろうな。
# 本当に「二段階」認証の所があったりするけど。
# パスワードで認証した後に別のパスワードって何の意味が…
Re: (スコア:0)
むしろ一段階で多要素認証してるところ少ないでしょ。
SMSは100%二段階以上になってるし、認証アプリ使ってるとこも一度に入れないことの方が多い。
#IDで一要素、パスで二要素目。この二要素認証でいいよ
Re:二段階認証はどうやって突破? (スコア:1)
> むしろ一段階で多要素認証してるところ少ないでしょ。
> SMSは100%二段階以上になってるし、認証アプリ使ってるとこも一度に入れないことの方が多い。
「二段階認証」はアクセス情報によって追加的な認証を求める(オンラインバンキングで振込の際にOTP入力を求める)ようなやり方のことで、単に認証要素を順番に入力する、という意味じゃない。
あと、Windows Hello とかは端末の所持認証とカメラや指紋での生体認証を同時に行っているので、「一度に多要素認証」になってる。
全然例は少なくない。
> #IDで一要素、パスで二要素目。この二要素認証でいいよ
ログインIDは一般に秘密情報ではないため、認証要素とはみなされない。
Re: (スコア:0)
SMSだけの一段階認証にしてるところわりとあるような
Re: (スコア:0)
二段階認証じゃなくて二要素認証(多要素認証)っていう言い方にならないのはなんでだろうな。
「イデーとバズワードで二段階ですよね?」とか言われそう
Re: (スコア:0)
GoogleやMicrosoftのドキュメントでは、2段階認証という呼称が基本になっている。
仮説で、「多要素認証」という概念が多段階と分離される前には「2段階」が通称であり、
その後呼称の正確化の機運が高まっても、大企業の用語集の方は(多分混乱を避ける動機で)直ちに更新されず、
それらのリーダー企業に倣ったドキュメントで未だ「段階」という用語が再生産されているのでは、と思うのだが。
それを裏付けるソースがこれと言って無く、記憶でも過去どうだったとか細かい事は覚えていない。
Re: (スコア:0)
検索結果の数では多要素認証も拮抗していて、どちらかが基本とは言えないと思う。
Re: (スコア:0)
最初に広まったのはGoogleが2段階認証という言葉を用いてからだね。多要素認証はあとから出てきた言葉。
Re: (スコア:0)
>電話の場合、システムからコールバックに応答し、プッシュボタンを押すことで認証が完了するしくみ。
略
>同市保健所の電話回線に限りがあり、ひとつの回線を複数職員で共有し、電話認証にも利用していたという。
頻繁にログインが行われるシステムみたいだから、第三者がログイン試行した時に、たまたま職員がログインしようとしていたら、かかってきた先の第三者の試行に対する認証電話に対して操作を行なってしまうんでしょうね。
Re: (スコア:0)
ありがとうございます、リンク先下部の「次へ」ボタンに気づいておらず、
記事の続きを読めていませんでした。
記事を細切れにしてページを分けるのはビューを稼いで広告収入を上げるためで、
インターネットの広告モデルのダメな部分だ!(八つ当たり)。
Re: (スコア:0)
ビューを稼いでもサイト側は広告収入は増えないのに、何を言ってるの?
Re: (スコア:0)
ビューを稼いでもサイト側は広告収入は増えないのに、何を言ってるの?
広告の種類によっては、ビューだけで広告収入は増えますよ?
クリックや、成功報酬の他にもビューによる収集はあります。
Re: (スコア:0)
ページ遷移に伴って異なる次々と広告が表示されますから広告クリック数も増えますし一般的に広告収入は増えますよ