徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

パスワードとあわせて、携帯電話にワンタイムパスが送られ認証を行う多要素認証を使っています。
これを使っていて疑問に思ったのですが、パスワードは極論12345だとしても、携帯電話さえ肌身離さず守っていれば、不正ログインはされないのではと思いました。
実際にはどんなリスクがあるのでしょうか。(ワンタイムパスがハイジャックされたりするのでしょうか?)

2020/06/29 09:54

この場合、携帯電話に送られてくる「ワンタイムパス」は通常4~6桁の数字ですが、それだとパスワードの代わりにするには複雑性が足りません。パスワードと同等の複雑性をもたせればユーザーが記憶するパスワードは不要になりますが、そのような認証方式は既にあります。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
QUOINEの情報漏えい、流失したのは顧客の本人確認書類やセルフィー等とのことでかなりショッキングでした。

この場合、顧客側としてはもうどうしょうもない感じでしょうか?
本人確認プロセスが、登録時の入力情報=本人確認書類、本人確認書類=セルフィーとチェックしていそうですし。
防衛省がサイバー攻撃からの防御を担う人材を発掘するため”サイバーコンテスト”をするそうです.徳丸さんのご専門のWebセキュリティとはちょっと違うかもしれないですが,コメントを伺いたいです.https://www.mod.go.jp/j/approach/defense/cyber/c_contest/
パスワードを 128bit のハッシュ値にするシステムがあったとします。この時、パスワードにASCII CODE(仮に8bit)で、16文字(128bit相当)を設定した場合と16文字を超えた時の場合で、(仮にハッシュ値がわかるとして)ブルートフォースアタックされた時の強度に差はでるでしょうか?(16文字を超えた場合に、逆に弱くなったりするでしょうか?)
脱PPAPがにわかに盛り上がっていますが、結局のところどの代替案がベストなのかさっぱりわかりません。

徳丸先生のお勧め方式を教えていただけないでしょうか?
聞いていいのか分かりませんが、IPAではどのようなお仕事をされているのでしょうか?