徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

パスワードとあわせて、携帯電話にワンタイムパスが送られ認証を行う多要素認証を使っています。
これを使っていて疑問に思ったのですが、パスワードは極論12345だとしても、携帯電話さえ肌身離さず守っていれば、不正ログインはされないのではと思いました。
実際にはどんなリスクがあるのでしょうか。(ワンタイムパスがハイジャックされたりするのでしょうか?)

2020/06/29 09:54

この場合、携帯電話に送られてくる「ワンタイムパス」は通常4~6桁の数字ですが、それだとパスワードの代わりにするには複雑性が足りません。パスワードと同等の複雑性をもたせればユーザーが記憶するパスワードは不要になりますが、そのような認証方式は既にあります。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
Webアクセスにおける常時TLSの普及はだいぶ進んでいるのに、なぜメールはいまだに平文が主流なのでしょうか?
自身で運営していないWebサイトへ無断でセキュリティ診断に準ずる行為をすることは禁じられていると思っているのですが、公にバグバウンティをやっていないサイトの脆弱性が見つかって、確証をもってIPAなどに届けられるのは何故なのでしょうか。脆弱性にもよりそうですが、SQLに干渉する文字や、スクリプトやタグ文字を意図して送ってみたり、それなりのパターンを試さないと確証には至らない気がして、不思議に感じています。たまたま見つかったりするものなのでしょうか。
HasuraのブログでJWTのベストプラクティスとして、最初JWTを短かめの有効期限設定でメモリに格納し、その後silent refreshでログイン状態の保持(refresh tokenはcookieに保存&HttpOnly)を行う、とありましたが、この手法についてはどう思われますか?
https://hasura.io/blog/best-practices-of-using-jwt-with-graphql/
YouTubeであの様な技術を無料で公開しているということは先生にとってはレベルの高くないものなのでしょうか?
YouTubeの動画がどれも分かりやすいです。動画制作にはどのようなソフトを使っているのでしょうか。