複数サイトでパスワードを使いまわししていると、一つのサイトでパスワードが漏れると、他のサイトでもログインできてしまう つまり、いくら自身のサイトを強化していても他のサイトの情報漏えいの影響を受けてしまう #nwc_auth
2019-01-13 14:52:08パスワードがダメという前提は大丈夫?課題を掘り下げた方がいいのでは? >IDとパスワードという組み合わせが色んなサイトで必要で、例えばOIDC導入されていないサイトが多くある中で、パスワードを何か登録しないといけない。推測しやすいパスワードや同じパスワードを登録してしまう。 #nwc_auth
2019-01-13 14:53:12パスワードの脆弱性はいろんなサービスに使い回すことにより、脆弱なサイトから漏洩する ことがあること 2012年ごろからリスト型攻撃を検知(某キャリアでは) #nwc_auth
2019-01-13 14:54:12「パスワードがだめな理由の確認。 「ID/PWがサイト毎に必要。多くのペアを扱わねばならないので、簡単なものにしたり、同じものを使ったり。クラックされたり、漏れたパスワードを悪用されたりしやすい。 「クラックがゆっくり試行されるようになったので、いつ漏れたのか分かりにくい。 #nwc_auth
2019-01-13 14:54:20bot対策の話でもよく有るけど、連続入力や連続入力ミスに耐性を持たせてもそこをかいくぐるラインでアタックされるだけなのよね #nwc_auth
2019-01-13 14:54:28パスワード認証への攻撃としては、ゆっくり施行してくる、リスト型攻撃、もう防げない、 ってなってきている #nwc_auth
2019-01-13 14:54:53導入として過去を振り返るトークになっているけれど,次世代 Web の話にはどれくらいで移行するのだろうか? #nwc_auth
2019-01-13 14:55:55パスワードを忘れたら、FIDO 認証器をなくしたら、顔や指紋情報が登録できなかったらというイレギュラーケースが狙われることが多いと思う。その辺りどう考えてるか知りたい #nwc_auth
2019-01-13 14:56:18OAuthといえば、今月書籍が出ますね。 shoeisha.co.jp/book/detail/97… #nwc_auth
2019-01-13 14:56:27「OpenIDが出始めた頃は、パスワード使い回しの話はなく、自分のアイデンティティを自分で管理する、という観点が多かった。もう一つのきっかけはOAuth。アプリにクレデンシャルを預けなくてよくなった。 #nwc_auth
2019-01-13 14:57:21