ockeghem page

徳丸 浩

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

ホーム
投稿
限定投稿
リクエスト
プロフィール

パスワードとあわせて、携帯電話にワンタイムパスが送られ認証を行う多要素認証を使っています。 これを使っていて疑問に思ったのですが、パスワードは極論12345だとしても、携帯電話さえ肌身離さず守っていれば、不正ログインはされないのではと思いました。 実際にはどんなリスクがあるのでしょうか。(ワンタイムパスがハイジャックされたりするのでしょうか?)

forum リクエスト
2020/06/29 09:54

この場合、携帯電話に送られてくる「ワンタイムパス」は通常4~6桁の数字ですが、それだとパスワードの代わりにするには複雑性が足りません。パスワードと同等の複雑性をもたせればユーザーが記憶するパスワードは不要になりますが、そのような認証方式は既にあります。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
Webアクセスにおける常時TLSの普及はだいぶ進んでいるのに、なぜメールはいまだに平文が主流なのでしょうか?
forum リクエスト
面倒くさいからじゃないですかね。 メールの暗号化にはメッセージの暗号化と通信路の暗号化があり、メッセージの暗号化にはS/MIMEとPGPがメジャーなところですが、メジャーと言いつつほとんど使われていま…

19時間前

自身で運営していないWebサイトへ無断でセキュリティ診断に準ずる行為をすることは禁じられていると思っているのですが、公にバグバウンティをやっていないサイトの脆弱性が見つかって、確証をもってIPAなどに届けられるのは何故なのでしょうか。脆弱性にもよりそうですが、SQLに干渉する文字や、スクリプトやタグ文字を意図して送ってみたり、それなりのパターンを試さないと確証には至らない気がして、不思議に感じています。たまたま見つかったりするものなのでしょうか。
forum リクエスト
一次情報にあたりましょう。「情報セキュリティ早期警戒パートナーシップガイドライン」に書いてあります。とくに、同ガイドライン「付録3」には「法的な論点について」詳しく説明されています。 簡単に言えば、関…

1日前

HasuraのブログでJWTのベストプラクティスとして、最初JWTを短かめの有効期限設定でメモリに格納し、その後silent refreshでログイン状態の保持(refresh tokenはcookieに保存&HttpOnly)を行う、とありましたが、この手法についてはどう思われますか? https://hasura.io/blog/best-practices-of-using-jwt-with-graphql/
forum リクエスト
この記事は非常にすぐれていると思いました。その理由は、特定の前提条件においてアーキテクチャを選定した理由が明確であるからです。読者はこの記事の結論よりも方法論を学ぶべきだと思います。結果は前提条件によ…

5日前

YouTubeであの様な技術を無料で公開しているということは先生にとってはレベルの高くないものなのでしょうか?
forum リクエスト
なぜ無料で公開しているか、ですが、そこには表現者としてできるだけ多くの方に見ていただきたいという思いと、会社経営者として、無制限に無料で公開するわけにはいかないという思いのせめぎあいがあります。単純に…

5日前

YouTubeの動画がどれも分かりやすいです。動画制作にはどのようなソフトを使っているのでしょうか。
forum リクエスト
スライド部分はPower Pointの機能でナレーションを入れて動画エクスポートしたものです。デモの画面キャプチャ映像とあわせて、動画編集はAdobe Premiere Elements(パソコンにプ…

5日前

継続サポート
ホーム
投稿
限定投稿
リクエスト
プロフィール
自分のダッシュボードへ
PAGEFULについて
利用規約
プライバシーポリシー
特定商取引法に基づく表示
PAGEFULに関するお問い合わせ

定額制サービス・毎月の会費の徴収をかんたんにできるメンバーペイ

メンバーペイ
powered by PAGEFUL[ペイジフル]