- wvwwvvwvwvvvwvw
- 70781
- 58
- 78
- 218
秘密情報ではないものを送ることを認証とは呼ばないと思いますよ / 他8コメント b.hatena.ne.jp/entry/www.jal.… “JAL - JALホームページにおける2段階認証の実施について” htn.to/P3NCzb
2014-08-02 20:33:29まあ、IDの空間が3万倍くらいになるんでリバースブルートフォースアタックは多少はやりにくくなるんだろうけど… >JALの生年月日で「二段階認証」
2014-08-02 20:28:31@5704k3 まあセキュリティ強度は上昇してるので導入が無意味ではないと思いますが、そもそもパスワードが数字6桁で完全にマヌケ、既存の二段階認証と大きくかけ離れた機能を二段階認証と呼んでおりマヌケ、生年月日使っててマヌケ、という理由でバカにしまくっていいと判断しました
2014-08-02 20:32:45JAL の生年月日認証、ちゃんとした2段階認証とはいえないが、差し迫る脅威に対応するにはとても有効な方法だと思うのだが、叩かれる理由あるかな?
2014-08-02 20:34:48「にだんかいにんしょう」を導入したJALのページログインしたら案の定フルネームが出てきた。詰んでる。 つまり、JALが導入したこの認証もどきは、リバースブルートフォースアタックとFacebook(あるいは名簿屋から買った名簿)で簡単に突破できる。 まさにZAL(ザル)認証
2014-08-02 21:38:25認証が真っ当なものかどうかは、実際にログインして、落ち着いてよく見てみる、ってことをじっちゃんならぬひろみちゅ先生に習った。言葉ではなく行動で。
2014-08-02 22:00:30昔こういうのがあった。 飾りじゃないのよCAPTCHAは ~前代未聞のCAPTCHAもどき takagi-hiromitsu.jp/diary/20060810… pic.twitter.com/JJuW515Pyq
2014-08-02 21:52:06このとき「このCAPTCHA導入の目的は荒らし対策ではない。この目的でCAPTCHAを使うのはよくない。その理由は今はここでは言わない。」と結んだのは、実は、今で言ういわゆる「リバースブルートフォース」攻撃に対する対策だろうと思ったからだった。当時、三井住友カードのログインは、…
2014-08-02 21:53:32…ログインは、クレジットカード番号16桁と、クレジットカードの4桁暗証番号で可能になっていた。これは危険だと電話で抗議したのが2005年ごろだっただろうか。それが効いたか自力で気付いたか、CAPTCHAによる対策が入ったわけだ。それがこんなハリボテでは話にならないのであった。
2014-08-02 22:04:59当時Googleが既に、ボットによるパスワード破り対策に、ログイン画面でCAPTCHAを出していた。それを真似たのだろうが、利用者に責任のないところで保険的にCPATCHAを加えたGoogleの場合とは根本的に異なる。4桁数字暗証をWebで用いるのは、サイト運営者の落ち度である。
2014-08-02 22:09:53訂正: 誤「利用者に責任のないところで」 正「利用者に責任があるところで」 つまり、「弱いパスワードを付ける利用者に責任があるところで保険的にCAPTCHAを加えたGoogle… 」ということ。 twitter.com/hiromitsutakag…
2014-08-02 22:30:45そのような欠陥認証の対策として、不完全性が避けられないCAPTCHAという方法を用いることについて、「この目的でCAPTCHAを使うのはよくない。」としたのであった。(CAPTCHAは、あるとき突然、ボットによって続々破られるようになるときが来ないとは限らないからだ。)
2014-08-02 22:12:11その後、このサイトは、月代わりでCPATCHAのデザインを変更するという愚策 takagi-hiromitsu.jp/diary/20060930… を取って笑いをとった後、生年月日を入力させる対策を追加していた。 pic.twitter.com/PV0jTQNTvs
2014-08-02 22:18:04この対策は実は有効だった(リバースブルートフォース攻撃対策として)。なぜなら、ログインの際に4桁暗証と同時に生年月日も要求する(2つの画面に分かれているとはいえ)からである。 pic.twitter.com/PV0jTQNTvs JALもそのようにすれば対策になるところだったが、…
2014-08-02 22:27:10…JALもそのようにすれば対策になるところだったが、残念ながらやらかしてしまったようだ。 pic.twitter.com/4boFy44lnd
2014-08-02 22:44:52【お詫びと訂正】JALの「二段階認証」はブルートフォースアタックに対しては安全性が高まっている、とつぶやきましたが、実際には二段階目の前にログイン成功が確認でき、しかも氏名を閲覧できてしまうため、全然ダメだと判明しました。
2014-08-02 22:12:48つまり今まで通りリバースブルートフォースアタックで当たりのアカウントを集める(ヒット率は変わらず)→ログイン後のページから実名を取得→ベネッセの名簿とかで実名から誕生日を取得→二段階目の誕生日入力→やりたいホーダイ、ってことのようです。。。
2014-08-02 22:17:49JALの謎認証、リバースブルートフォース対策としてやるならユーザIDとパスワードと一緒に(あるいは認証の成否に関わらず)誕生日入力させないとダメ、ってことでいいのかな。
2014-08-02 22:21:32この画面の時点で、氏名を把握できているわけだが、それだけではなかった。 pic.twitter.com/mTOflUpuc1
2014-08-02 22:48:50適当に便を選んで予約の画面に進むと、生年月日を元に計算された年齢が表示される。したがって、生年月日入力といっても、実質、月日のみであり、1/365.25 の確率で突破される。 pic.twitter.com/RFmTCcmyWr
2014-08-02 23:00:55