パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

情報公開請求でコロナ患者管理システムの認証情報が漏洩、大阪市」記事へのコメント

  • 「同システムには2段階認証が設定されているが、第三者のアクセスに対しても認証してしまった可能性があるという。」
    https://www.security-next.com/136220 [security-next.com]

    HER-SYSの二段階認証はサインインのたびに電話かSMSでコードを受け取ってそれを入力するタイプっぽいけど、第三者はそれをどうやって突破したんだろう。
    二段階認証担当者が効いてくる相手を確認せずに無条件でコードを教えていたとか?
    それなら二段階認証の運用に問題がありそう。。

    • 二段階認証じゃなくて二要素認証(多要素認証)っていう言い方にならないのはなんでだろうな。
      # 本当に「二段階」認証の所があったりするけど。
      # パスワードで認証した後に別のパスワードって何の意味が…

      • by Anonymous Coward on 2022年05月02日 14時32分 (#4242727)

        むしろ一段階で多要素認証してるところ少ないでしょ。
        SMSは100%二段階以上になってるし、認証アプリ使ってるとこも一度に入れないことの方が多い。

        #IDで一要素、パスで二要素目。この二要素認証でいいよ

        親コメント
        • > むしろ一段階で多要素認証してるところ少ないでしょ。
          > SMSは100%二段階以上になってるし、認証アプリ使ってるとこも一度に入れないことの方が多い。

          「二段階認証」はアクセス情報によって追加的な認証を求める(オンラインバンキングで振込の際にOTP入力を求める)ようなやり方のことで、単に認証要素を順番に入力する、という意味じゃない。

          あと、Windows Hello とかは端末の所持認証とカメラや指紋での生体認証を同時に行っているので、「一度に多要素認証」になってる。
          全然例は少なくない。

          > #IDで一要素、パスで二要素目。この二要素認証でいいよ

          ログインIDは一般に秘密情報ではないため、認証要素とはみなされない。

          親コメント
        • by Anonymous Coward

          SMSだけの一段階認証にしてるところわりとあるような

最初のバージョンは常に打ち捨てられる。

処理中...