ockeghem page

徳丸 浩

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

ホーム
投稿
限定投稿
リクエスト
プロフィール

パスワードとあわせて、携帯電話にワンタイムパスが送られ認証を行う多要素認証を使っています。 これを使っていて疑問に思ったのですが、パスワードは極論12345だとしても、携帯電話さえ肌身離さず守っていれば、不正ログインはされないのではと思いました。 実際にはどんなリスクがあるのでしょうか。(ワンタイムパスがハイジャックされたりするのでしょうか?)

forum リクエスト
2020/06/29 09:54

この場合、携帯電話に送られてくる「ワンタイムパス」は通常4~6桁の数字ですが、それだとパスワードの代わりにするには複雑性が足りません。パスワードと同等の複雑性をもたせればユーザーが記憶するパスワードは不要になりますが、そのような認証方式は既にあります。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
Youtubeをよく拝見さてもらっております。 気になったのは、徳丸さんが動画投稿を行ってる目的が気になりました。 情報セキュリティの正しい情報拡散とお仕事のマーケティングがメインとなるのでしょうか?
forum リクエスト
明確な目的は意識しておりません。合理性を追求したら、手間が掛かり過ぎてやってられません。思いつきでやり始めて、その後はやりたいからやっているという感じです。

1時間前

言語を開発出来るレベルの知識を持って、仕事に挑みたいのですが……参考になる書物などありますでしょうか。 ウィンドウズ インサイド等は力になりますか?
forum リクエスト
簡潔に回答すると、 ・質問者さんのことを知らないので質問者さんに適した書籍の推薦はできない ・「ウィンドウズ インサイド(インサイドWindows?)」は力にはなると思うが、「言語を開発」というテーマ…

2時間前

静的コンテンツのみのコーポレートサイトであっても、ウェブアプリケーションとプラットフォームの脆弱性診断を実施する必要性はあるのでしょうか。
forum リクエスト
「静的コンテンツ」という表現は実はあいまいでして、静的コンテンツと言いつつJavaScriptくらいは使っていて、そこに脆弱性が入る余地はあります。なので、状況によってはウェブアプリケーション脆弱性診…

4日前

徳丸本にはオープンリダイレクタについて、「もともと外部のドメインに遷移する仕様であること」「利用者にとっても外部のドメインに遷移することが自明であること」を両方満たす場合は脆弱性とはならないと書かれていますが、メールなどで他サイトへ誘導するためのリンクとして使うなど、フィッシングへの悪用はできてしまうと思うのですが、それはよいのでしょうか?
forum リクエスト
「利用者にとっても外部のドメインに遷移することが自明であること」あるのは、画面上で「外部のサイトの遷移します」と表示することなどを示します(クッションページなど)。それでも利用者が騙されるのであれば利…

5日前

WAF は静的コンテンツ配信のみを行っている Web サーバーには不要な物だと思っていましたが、それについて「ディレクトリトラバーサル等は静的コンテンツサーバーでも受ける可能性がある (ので WAF が有効)」との指摘を受けました。この指摘は妥当なのでしょうか?
forum リクエスト
静的コンテンツの場合でもサーバーソフトウェアの脆弱性はありえますので、WAFが効果は見込める場合はあります。そしてサーバーソフトウェア(例えばウェブサーバー)の脆弱性によりディレクトリトラバーサル脆弱…

8日前

継続サポート
ホーム
投稿
限定投稿
リクエスト
プロフィール
自分のダッシュボードへ
PAGEFULについて
利用規約
プライバシーポリシー
特定商取引法に基づく表示
PAGEFULに関するお問い合わせ

定額制サービス・毎月の会費の徴収をかんたんにできるメンバーペイ

メンバーペイ
powered by PAGEFUL[ペイジフル]