カテゴリー機能は終了いたしました。まとめ作成時にはタグをご活用ください。

「多要素認証(MFA)」ってなんだっけ? クイズを出したら不正解者多数だった件

7payが世の中を騒がせて、2段階認証という言葉がホットワードとなったりしてますね。こうした決済サービスのセキュリティを守るには「多要素認証」(Multi-Factor Authentication)が大切です。……ところで多要素認証ってなんでしたっけ? Twitter投票でクイズを出してみたところ……?
認証 多要素認証 カクセキュ セキュリティ
169
うみちゃん @Umic_Y_ANG
Mastodonで別の方が出したクイズが不正解者多数だったので危機感を持ってTwitterでも聞いてみる。 以下のうち、多要素認証(MFA)として正しい組み合わせを選びなさい。

問題:以下のうち、多要素認証(MFA)として正しい組み合わせを選びなさい。

  1. キャッシュカードと暗証番号
  2. パスワードと秘密の質問
  3. 指静脈認証と虹彩認証
  4. 預金通帳と印鑑
うみちゃん @Umic_Y_ANG
以下のトゥートの問題をそのままいただきました。 m.upsilo.net/@upsilon/10238… あれだぞ、「架空世界 認証セキュリティセミナー」の読者は絶対正解しないとダメだぞ!
リンク m.upsilo.net 1 user 1 upsilon (@upsilon@m.upsilo.net) Q. 多要素認証 (MFA) として正しい組み合わせは次のうちどれか [ ] キャッシュカードと暗証番号 [ ] パスワードと秘密の質問 [ ] 指静脈認証と虹彩認証 [ ] 預金通帳と印鑑
うみちゃん @Umic_Y_ANG
ヒント:「この4択に正答がない」は不正解です。そんな意地悪な問題は出していません。もちろん「出題ミス」も不正解。 正解と解説は本日の23時ごろツイートします。

みんなの意見

パステレ @passtele_info
今日の23時ころに正解発表だそうです! そういや最初「MFA」を見たとき「マルチファイナルアンサー」ってずっと読んでたな・・・正しくは「Multi-Factor Authentication」です twitter.com/Umic_Y_ANG/sta…
Ryou Ezoe @EzoeRyou
回答した後に答えを調べたら間違えた。 twitter.com/Umic_Y_ANG/sta…
sawat1203 @sawat1203
所有物認証と知識認証と生体認証のうち2つ以上組み合わせるのが多要素認証。これを満たすのは一つだけ。他のパターンは組み合わせになっていないのでダメ。 twitter.com/Umic_Y_ANG/sta…
acevif @acevif
このクイズに自信をもって答えられるようになっておきたいtwitter.com/Umic_Y_ANG/sta…
つばき @typel18
キャッシュカード(物理的所持)と暗証番号(記憶)が確か正解で、PINコードにおいて同じことが言えたような気がする twitter.com/Umic_Y_ANG/sta…
さかもつ:オープンコーラ製法 @sxmtz
これ「キャッシュカードと暗証番号」だと思うんだけど違うか?考え方として間違ってるのか、、、 ○情報+物理 x情報+情報 x物理+物理 twitter.com/Umic_Y_ANG/sta…
n.Sekiguchi 𓅚 mistbind#32043 @645reform
多要素認証における `要素` とは何かという質問な訳だな。。。 twitter.com/Umic_Y_ANG/sta…
ふぃすと @fist0
二段階認証を知っていても多要素認証との違いをわかっていない人多そう。と思って答えたら、正答率かなり低かった twitter.com/Umic_Y_ANG/sta…
小林@信也 @ShinyaKoba1979
7payに端を発した多要素認証に関するアンケート。みなさまもぜひやってみましょう。MultiFactorだよ。 twitter.com/Umic_Y_ANG/sta…
あきほ@プログラミングカリキュラム無料公開中 @ayumu_pika
みんなはどれだと思いますか? あきほのアンサーはキャッシュカードと暗証番号。 理由としては パスワードという知識情報 キャッシュカードという所持情報 異なるふたつの情報で守られている。 twitter.com/Umic_Y_ANG/sta…
和奏 @pokemoikas
選択肢が一つとは言ってないってことか twitter.com/Umic_Y_ANG/sta…
Tsuyoshi UEHARA @uecchi
うーん、ムズイ。。なんで正解か不正解か答えられない twitter.com/Umic_Y_ANG/sta…
増井敏克@IT用語図鑑 書籍とスマホアプリを公開中 @masuipeo
これは良いアンケート。 わからない、という人は拙著『図解まるわかりセキュリティのしくみ』をどうぞ。 amazon.co.jp/dp/4798157201 twitter.com/Umic_Y_ANG/sta…
残りを読む(55)

コメント

LCO @f_lco 2019年7月6日
用語問題だから定義知らんとアカンし、知らんなりに選ぼうとしても普段使ってるカード&パスワードがソレだと思わんので外してしまうだろうからなぁ
犬神 @spyseewolf 2019年7月6日
キャッシュカードと暗証番号 パスワードと秘密の質問 指静脈認証と虹彩認証 預金通帳と印鑑 の選択肢の内容を 「脅されて答えただけでアウト」 「寝てる時にされたらアウト」 「泥棒が入ってきて持っていかれたらアウト」 と分けて考えると答えられた 3の答え多かったみたいだけどよくルパンや怪盗キッドにやられてるしね?
denev @_denev_ 2019年7月6日
1と4はAND関係(両方必要)、2と3はOR関係(どちらか一方でおk)の組み合わせだから、並列する実例として適切ではない気がする。
denev @_denev_ 2019年7月6日
2と3はセキュリティを向上させる組み合わせじゃなくて、抜け道を増やしてるだけだよね?
@taiheyou 2019年7月6日
フリーメールに電話番号が有名なそれだから何となくわかったけど、キャリアメールも所有物の枠に入るのか?
さとうあきひろ @akihirosato1975 2019年7月6日
一応、2も3もAND条件で使わせる(両方必須にする)ような設計はあり得る(あまり一般的ではないけど)。一方で1は確かに多要素認証だけど「カードそのものを盗まれる」「スキミング食らう」「暗証番号をすぐバレるものにする」とかで容易にセキュリティとしての強度が下がるから、単純に「多要素にしたからOK」ってものでもないよなぁ、なんてことを思ったり。
ふるやx[xは全角です] @Furunya_X 2019年7月6日
[c6518280「要素」という抽象的な概念を用いてる時点で当然同一条件(パスワードそのものの強度など)が前提でしょうね
Toshoposho @Toshoposho 2019年7月6日
印鑑はどの印鑑をこの通帳の銀行印にしたかという知識を問うという要素もあるとおもうんですが,それだけでは多要素とは言えないんでしょうか? (よく銀行印を忘れてしまいます,最近は通帳にも印影を載せないですし)
Earwax @Earwax97409510 2019年7月6日
_denev_ andかorかは設問と関係ありませんよ。1は2要素で他は単要素認証。ちゃんとはっきり区別できるので、適切です。 (そもそも2と3はorです、なんて何処にも書いてませんが…)
trueよりも浅い場所 @ibaranika 2019年7月6日
これ仲間はずれ探しみたいな感じだから1で正解できたけど、記述だと確実にアウトでしたわ。
なみへい @namihei_twit 2019年7月6日
①で、「クレジットカード(物理)」と、「クレジットカード番号(データ)」を取り違えてしまうと、引っかかるパターンだ。
nnouse @nnouse 2019年7月6日
パスワードは暗記で使い回し前提ですか。メモしといたら所有物やん。数字なら4桁くらいしか覚えられんぞ。
denev @_denev_ 2019年7月6日
Earwax97409510 大いに関係ありますよ。or関係の組み合わせは、どちらか一方あれば済むんですから、そもそも組み合わせる必要などありません。次に、2と3は理論上も技術上もand関係にすることは可能ですが、そんなトンチンカンな例を想定してるなら、ますます設問として欠陥ありでしょう。
ながいずみ(個人用) @nameriizumi 2019年7月6日
_denev_ だったら米欄で噴かず直接言ってきたらいいんじゃないですかね
狐謡 @Towa_towa_to 2019年7月6日
そら、分けて言ってるだけで、やってることは2は質問、3はボディチェック、4は持ち物検査だから、知識のあるなしに、ほとんどの人は冷静になりゃ解けるはずの問題。
Mill=O=Wisp @millowisp 2019年7月6日
多「要素」認証と他「段階」認証の差はあまり意識してなかったので普通に勉強になった
お豆さん @feijao0131 2019年7月6日
_denev_ 勝手に問題文に無い条件を加えてダメ出しされても
ながいずみ(個人用) @nameriizumi 2019年7月6日
つまりシータなど王族のみが起動できて(WHAT YOU ARE (inherence factor))、一子相伝で合言葉が伝わり(WHAT YOU KNOW (knowledge factor))、飛行石を持って(WHAT YOU HAVE (possession factor))命令を実行するバルスは、この3要素すべてで認証してる強固なセキュリティ つまりラピュタはセキュリティエンジニア必見の映画だった
お豆さん @feijao0131 2019年7月6日
多要素認証の選択肢より、閾値の設定次第では生体認証2種の方がガード固くなるから多要素認証の定義を知らないで感覚で答えると引っかかる。
ほこんち @surfdicts 2019年7月6日
パスワードと秘密の質問:一緒に流出するかも。 指静脈認証と虹彩認証:直接会えば両方データ取ることができる。それを元にスーパーハカーが偽造するかも。 預金通帳と印鑑:一緒に盗まれるかも。 キャッシュカードと暗証番号:流出と盗難両方が必要(メモってなければ)
狐謡 @Towa_towa_to 2019年7月6日
Towa_towa_to 「知識のあるなしに」じゃなくて「知識のあるなしに関わらず」だった。
くりあ/CLEA-R-NOT-3 @Clearnote_moe 2019年7月6日
認証をandで通すかorで通すかなんか実装依存だから、今回の設問には関係がない。むしろ、所有物認証2つをandにした実装が一般的である4番が異常。
nnouse @nnouse 2019年7月6日
nameriizumi シータ「合言葉忘れた。リセットして」「登録した住所に郵送します」「ゴンドワまで戻るのめんどい。この住所に送って」「おk」中国人「おk」
えびあん @sionchr 2019年7月6日
4は印鑑10本くらい通帳と同じケースに入れて管理すれば、多要素認証と言い張れなくもない
Earwax @Earwax97409510 2019年7月6日
_denev_ 「orだったら」なんて言葉が出てくる時点で設問を正しく理解できてません。2と3と4は「andだろうがorだろうが」変わらず単要素です。
ムック船長 @captainmuck 2019年7月6日
知識がなくても文言を読み探れば至れる……?
くりあ/CLEA-R-NOT-3 @Clearnote_moe 2019年7月6日
nameriizumi パズーというノイズが入ってるからキックすべきだったと思います!
くりあ/CLEA-R-NOT-3 @Clearnote_moe 2019年7月6日
2番と3番でandにするのを「トンチンカンな例」といって切り捨てるのに、4番をandでいいと確信している理由がわからない。技術的限界があったころに作られたクソ仕様で、現代でこの実装しようとしたらやはり「トンチンカン」だと思うのだが……。
2D @migrant777 2019年7月6日
多"要素"ってのをちゃんと読めればそれほど難しい問題じゃない・・・ないよね?
denev @_denev_ 2019年7月6日
Earwax97409510 別にそこは否定してませんが?
denev @_denev_ 2019年7月6日
Clearnote_moe 新たに作る実装としてはありえなくとも、現実に今でも広く通用している実装ですし。
狐謡 @Towa_towa_to 2019年7月6日
_denev_ そもそも、 _denev_ のand関係、or関係ってのが嘘っぱちやん? 1も4も、実際のとこどちらか片方でも成り立つ認証は沢山あるし。通帳、印鑑、暗証番号はいうに及ばず、キャッシュカードも入金が可能。2の秘密の質問は、むしろ逆にそれ単体は認証での使い道が少ないし(大抵がパスワードの補足)、セキュリティレベルが高いところでは、指紋と光彩のand認証が必要ってこともあり得るでしょ。つまり、andとかorとか、そんな分類はねえ。
LCO @f_lco 2019年7月6日
Clearnote_moe 「一般的にこっちはandでこっちはor」「問題文はandもorも関係ない」という事が理解できてない馬鹿には何言っても無駄よ、だって馬鹿は死ななきゃ治らないから
みま🐬⛰🏕 @mimarisu 2019年7月6日
金庫の鍵とダイヤルも多要素認証になるのかな?
denev @_denev_ 2019年7月6日
f_lco 「問題文はandもorも関係ない」ことそのものを問題視しています。
denev @_denev_ 2019年7月6日
migrant777 「要素」の定義を問う知識問題なので(簡単/難しい)ではなく(知ってる/知らない)だと思います。
アルビレオ@炙りカルビ @albireo_B 2019年7月6日
_denev_ 「問題視してます」だけじゃ伝わらないですよ。「なぜandもorが関係ないと問題なのか」を説明できないと
狐謡 @Towa_towa_to 2019年7月6日
mimarisu mimarisu どっちも知識の認証だから、多要素じゃない。例えば入力はパスワードの一回だけでも、内部で指紋認証も同時にやってたら多要素。
denev @_denev_ 2019年7月6日
albireo_B 正しい「組み合わせ」を選択させる問題だからです。つまり4つの選択肢は、組み合わせとして同じ成り立ちをしていることが望ましいと思います。
アルビレオ@炙りカルビ @albireo_B 2019年7月6日
_denev_ そうは思いません。聞かれていることを判断できるものであればそれ以外の要因を気にしなくても回答可能なので問題ありません。たとえば「野菜はどれか」という質問に「パスワード」のような物理的実体を持たない選択肢が含まれていても回答には差し支えないので問題視する必要はないです
おねむ @onemu1846 2019年7月6日
ITを利活用するすべての社会人や学生はITパスポート試験を受けとこうな!
Earwax @Earwax97409510 2019年7月6日
_denev_ では「大いに関係があった」のは何と何がですか?
アルビレオ@炙りカルビ @albireo_B 2019年7月6日
むしろ「設問に関係ない点で違いのある選択肢」というのは設問を理解できないと引っかかるようにして、安易な消去法で答えを見つけられないするための常套手段だと思うな
空家の恵比寿様1968 @ebcdic_ascii 2019年7月6日
「リーテ・ラトバリタ・ウルス、アリアロス・バル・ネトリーグ」ドカーン
朝倉梗概 @asakura_outline 2019年7月6日
字面から内容を類推して知ったかぶりしてしまったけど多要素認証って単語自体初見なのに回答できるわけなかったわ
お豆さん @feijao0131 2019年7月6日
Towa_towa_to 金庫の鍵は所持情報では?
みもれっとぅーん @Mimolettoon 2019年7月6日
おばあちゃんはキャッシュカードに暗証番号書いちゃうから不正解
狐謡 @Towa_towa_to 2019年7月6日
feijao0131 ああ、そうか。ごめん。「鍵=キーダイヤル」みたいな理解してた。完全に読み違えてた。
denev @_denev_ 2019年7月6日
albireo_B 引っ掛けようとするあまり、セキュリティ向上という文脈にある設問で、セキュリティ向上になってない組み合わせ(or関係)を出すのは本末転倒でしょう。単に知識を問えば良いというものではない。
jpnemp @jpnemp 2019年7月6日
Towa_towa_to 金庫の鍵は「所有物認証」では?
夜行ぬえ(誤字マン) @yagyou 2019年7月6日
関係ないけどラピュタって本家はのうのうと酪農して暮らしてて影たる分家には血の保存を課して遺伝子異常(ムスカの弱視とか)おこしててムスカが狂ったのもさもありなん。
佐渡災炎 @sadscient 2019年7月6日
静脈と虹彩をそれぞれ別の人のを登録して2人揃わないと認証が通らないようにすれば一応多要素認証として運用は可能。
かたまり @Katamarythm 2019年7月6日
旧セキュスペ持ってたけど普通に間違えた俺が通りますよ
takatakattata @takatakattata1 2019年7月6日
7payで偉そうな顔してた人はちゃんと答えられるはず
000 @qgatmdgtwd 2019年7月6日
_denev_ まとめのツイートくらい熟読してからコメントしたら? まあ読んでもそれならどうしようもないけど。
えびあん @sionchr 2019年7月6日
takatakattata1 7payは多要素認証じゃなくて他段階認証で話題になったのでは?
狐謡 @Towa_towa_to 2019年7月6日
jpnemp うん、読み違え。というか、鍵と聞くとパスワードが頭に浮かぶ、デジタル慣れの弊害と言いますか。ごめん。
伍長 @gotyou_H 2019年7月6日
この問題で、「正解がない」「問題が間違ってる」「正解は実は複数」とかの、平たく言えばうそやひっかけなのでまじめにやると馬鹿を見ると思いたい類の人ってネットに多いけど、そういう人にセキュリティ問題を語ってほしくないな。 不正解ならともかくね。
シロクロ@特になし @BlancNoir_nanto 2019年7月6日
sionchr ケースごと盗んで、銀行窓口で「どれが正解か忘れた。この中にあるはずだから確認して」って言ったら、多分銀行員さん通しちゃうと思う…(´;ω;`)
シロクロ@特になし @BlancNoir_nanto 2019年7月6日
yagyou ラピュタふっかつ(再起動?)の呪文は長いのに、滅びの呪文は1単語なの、かなり危ない設計じゃないかなぁ?(´・ω・`)ラピュタのエンジニアさん大丈夫か?
うてんXV@日~火曜ほぼおらん @uten00 2019年7月6日
多要素認証は広い意味では通帳+印鑑、虹彩+静脈もだが狭い意味ではカード+暗証番号かな?種類の違う要素で認証ってことだから似た要素を複数重ねても強度が上がりにくいし
えびあん @sionchr 2019年7月6日
BlancNoir_nanto そんな状況なら「失礼ですが、ご本人確認ができる証明書をご提示いただけますでしょうか?」と、運転免許証や健康保険証などの別要素を要求するかと思うので、多分大丈夫かと。
ひなたろ @pitakon1 2019年7月6日
1.知ってること2.持ってるもの3.本人の特徴 の3種類から複数組み合わせるのが多要素認証。「山」「川」が1で水戸黄門が2、遠山の金さんが3ですな。
ネワノ @One_of_Engineer 2019年7月6日
つまり、「郵送された専用用紙に対し、自署した合言葉を筆跡鑑定」で認証すれば、一応、三要素全てを兼ね備えた多要素認証となる…? またAndroidのジェスチャーでのロック解除も掃引速度分布解析などまで実施すれば二要素認証となる…?
mogmog @mo9mogg 2019年7月6日
今回の多要素という話と、その強度については混同するなよ…。正解だった1の「キャッシュカードと暗証番号」だとしても、お前ら「あなたのキャッシュカード 口座番号xxxxxxxxxx が不正に使われています。暗証番号を変更しますので」とフィッシングサイトに誘導されたら7割は撃沈すると思うぞ
空家の恵比寿様1968 @ebcdic_ascii 2019年7月6日
yagyou いやそれはそうなんだけれども分かりにくいボケですまん
近藤 和宏 @kondoujp 2019年7月6日
これ、7pay 記者会見で記者が指摘した "二段階認証" を首脳が知らない事を揶揄するような発言の中で、「そもそも記者の "二段階認証" の説明は正しかったのか」「そもそも二段階認証になっていれば安全と言えたのか」「そもそもみんな、きちんと "多段階認証" と "多要素認証" の違い分かってる?」という辺りで、いろんな問題を感じたから出てきたものだという認識なのだけど。
近藤 和宏 @kondoujp 2019年7月6日
その上で、「多段階認証や多要素認証を採用していれば問題はなかったのか」という点において、今回の問題はその辺関係ないレイヤーが最大要因になっている話だよね、という辺りに気付けないとダメだと思う。
近藤 和宏 @kondoujp 2019年7月6日
セキュリティ面では「サービスイン直後に、速攻で穴を突いて攻撃されてる」という辺りを考えたら、開発段階で漏洩していて、実装日までにきちんと「どう攻撃したら効率が良いか」まで検討された上で「漏洩先からの当日の悪用指示が出ていた」現実を考えたら、システム開発上における機密保持回りでの穴が最大の問題ですよ。
近藤 和宏 @kondoujp 2019年7月6日
mo9mogg この問題は「多要素認証/多段階認証と言われるものが導入されていても、それが即ち強度を保証するものではない」というのを分かりやすく伝えるために、露骨に「強度が弱い、多要素に当たるパターン」なのですよね。
近藤 和宏 @kondoujp 2019年7月6日
セキュリティ面の対策的によくある「ログイン通知」なんかも実はアレで、アプリの関係で自動的に操作された結果ログイン処理が発生するようなパターンへの通知とかだと、「ユーザーが意図しないタイミングで発生した、適切なログイン」になるので、過剰通知による慣れで「ユーザーに無視される、サービス提供者が免責のためだけに行っているアクション」になったりするのが微妙なんですよね。
痛日記P @IDOLort6 2019年7月6日
強靭性と要素性をごっちゃにしてる人大杉内。
近藤 和宏 @kondoujp 2019年7月6日
あと、"and か or か分からない" 辺りの話、そもそも「問題で "多要素認証" と言って上にどの項目も 2 つしかない」点を考慮したら、「2 つの項目を or で繋げられると思ったなら、それそもそも "単要素" であり、問題にある "多要素" に当たらない」でいいんです。 そこまで分かったなら、「or のものなら "多段階" 認証であって "多要素" 認証にならないじゃん」で、その判断でいいんですよ。
近藤 和宏 @kondoujp 2019年7月7日
その上で、「この問題自体が、"多要素認証" と "多段階認証" は別物なのよ」という点を確認している問題であり、「どう見ても弱そうなコレが正解なの……えぇ……(ドン引き)」までが、この問題の主旨ですよね。(じゃないとこんな問題にならない) その上で「多段階/多要素認証を採用しているから大丈夫」ではなく、その上で「これは安全なのか」を考えてほしいという、そういう問題だと思いますよ。
えびあん @sionchr 2019年7月7日
kondoujp ”その辺関係ないレイヤーが最大要因になっている” 本当??もう発表してたっけ?”システム開発上における機密保持回りでの穴”って何?パスワード漏れてたって事???事前の予測だと、最大要因はパスワード再発行時のメールアドレスを任意で入力できたことだったけど、それじゃないの?二段階認証の導入を発表してたけどそれは批判を受けてのポーズで無関係なの???
近藤 和宏 @kondoujp 2019年7月7日
sionchr とりあえず、微博で 7pay を利用するための犯行指示が出ていた点については、既に記事が出てます ( http://www.sankeibiz.jp/workstyle/news/190705/cpd1907051350006-n1.htm ) が、こちらを否定できる何かしらの情報をお持ちでしょうか。そうであれば、警察に連絡を取った方が良いかと思います
えびあん @sionchr 2019年7月7日
kondoujp 主犯(中国国内の中国人)が出し子(日本国内の中国人)に指示を出していたと言うこと以上のことは判明していない記事ですが、主犯が出し子に連絡したID、パスワードを”システム開発上における機密保持回りでの穴”で入手したんですか?そんな情報のある記事を見てないんですが。
近藤 和宏 @kondoujp 2019年7月7日
sionchr あー、7pay 元々あんまり気にしてなかったので誤認してました。 サービスイン当日に盛大に悪用されたのだと認識してましたが、一応数日の差があるのですね。 それだと「あのシステムのザル感考えたら、いくらでもいけるわ」なので、機密保持上の問題があったのは確実という視点は取り下げます。(数日置いた可能性を踏まえ、「可能性はあるかも?」位の感じですか)
近藤 和宏 @kondoujp 2019年7月7日
sionchr 認識完全に間違ってました。ご指摘ありがとうございます。
出無精マスク @annoupoteto 2019年7月7日
nameriizumi これ分かりやすくていいな、ラピュタに結びつける発想が天才のそれ
佐渡災炎 @sadscient 2019年7月7日
_denev_ そもそもこの設問は「セキュリティ向上の文脈上」にはない。単に知識を問うているだけ。
パンダは肉食獣 @j_inbar 2019年7月7日
本まとめ中に >お前らわかってないのに叩いてたんか... とか言っている人いるが、 二段階認証と多要素認証の違いから分かってないのを、 さらっと晒されてて酷いwww
LCO @f_lco 2019年7月7日
BlancNoir_nanto 復活の呪文は例の句を思い出しながら口ずさんだだけで発動しているのに対して 滅びの呪文は「パズーにバルスの3文字を教えるとき」に発動していないので 第三者の協力、ないし、使用者の意思判定、あるいはその両方など特別なロック処理があると推測されるので大丈夫では
なみへい @namihei_twit 2019年7月7日
7Payがやらかしたのは、「他人の金で買い物しようとする悪意のある第三者」を(もしくはユーザーの金を預かるという行為を)軽んじて、他人の金で買い物しようとする悪意のある第三者の「排除牽制」を、システムの設計や構築、アプリのインターフェイスにおいてとことん徹底的に考慮しなかったこと。認証の要素がどうという話とは違う次元のお話。
きーもぐ @bndyk 13日前
キャッシュカードを印刷できる機器を持っていれば、キャッシュカードもknow扱いになり、よろしく無い。
たばかりがち(level:69) @CzkCLQVLpVW7MSL 13日前
みんな言い訳しててワロタ
おとうと @Mame_fuji 13日前
二段階と多要素を早とちりしただけの話では
nekodaisuke @nekodaisuke1 13日前
正解したわ。学生時代まわりが資格意味ないとかほざいてるときに勉強してたからな。とはいえ不正解の人より、正解はないとか逆張りしてるやつが一番糞だとおもう。馬鹿なうえに性格もくそとか救いがない。
TD-M18もっこㄘん @Mokko_Chin 13日前
せぐなべのスネークで思い出したけど、MGS3のヴォルギン大佐は服の上からチンコを触るだけで真贋(変装)を判定する股間認証を行ってたな。おそロシア。
絢瀬swi@アニカフェ7/19 @materialvenus 13日前
キャッシュカードは口座と紐付けされてるカードってだけで認証には含まれないと思ってた
キューマン・エノビクト @QmanEnobikto 13日前
二段階認証と多要素認証の違いがわかってませんでした、出直してくる
いぶし @robodama 13日前
パスワードと指紋照合は他要素認証(知識と生体)に定義されるってわけね
ゆーき @yuki073 13日前
SMSを使った2段階認証も電話番号の所有を確認している多要素認証になりますね。
Rocky@へぼ自転車乗り @rocky_mtb 13日前
要素、って言うからカード(物理)と番号(データ)だと思ったら合ってた。
おこそとのホモよろを @aiueo2341 13日前
全部正解だと思ったワイ・・・
ネワノ @One_of_Engineer 13日前
materialvenus 同じく、口座番号(=ユーザーID)の入力代行ってイメージだった。
monolith@フォロー外から失礼します @se_monolith 13日前
ターゲットの口座情報だけで簡単に偽造できる磁気キャッシュカードって認証に含めていいんだろうか…今は磁気データも一から偽造は無理なのかな?
kartis56 @kartis56 13日前
materialvenus 銀行のカードはそうだけど、クレジットカードだと裏に暗証番号(セキュリティコード)が書いてある
tAkihiko @ATA911 13日前
1と3で悩んで、「虹彩も静脈も別物だが生体認証だよなあ」ということで1にして正解でした。どちらも同じ人で登録するならクラックするために必要な要素は一人を脅すか殺すかすれば良いだけなので多要素ではないんだな(違う)
すめらぎ @eCh00HcE 13日前
onemu1846 なおITパスポートだしITだけわかってりゃええんやろ?と舐めてかかると以外と法規やプロジェクトマネジメントの単元も盛りだくさんで死亡する模様
まとめサイト評論家 @maidscarlet 13日前
denevとかいう無敵くんはどこにでも湧くな
uniuni @wander__wagen 13日前
あのバカしょっちゅうまとめと関係ないことをべらべらのたまったり論点すり替えたりとくっそキタねぇ話し方しかしないからな。そこを自覚できないところが無敵たるゆえんなのだろうけど。
限界集落ぐるぐる温泉 @otozuke 13日前
いやまぁ確かに拇印なんていう文化もあるもんだから ごっちゃになる気もするけど そんな静脈だの虹彩だのと要求されたら もっと大きいニュースになっている筈だし 詳しくなくても無難な1に落ち着くと思うんだけどなぁ...
お豆さん @feijao0131 12日前
eCh00HcE 今回の騒動でエンジニアは経営学学んでるのかってイキってた経営者が観測されたけど、二段階認証、多要素認証レベルのマネジメントは資格持ちのエンジニアは勉強してるはずなんだよね。
GAIA @2xpush 12日前
多要素、の意味を知らないと間違えるやつだ。業界の言葉の意味を勉強してないとわからないやつだから間違っても仕方ないと思う… 問題の前提に3要素の説明あれば間違える人少なくなるはず…
atlan @atlan1701 12日前
kondoujp 今回の穴は7idじゃなく昔から有ったomni7の穴なんで、事前に調査されていた筈です
cocoon @cocoonP 12日前
とりあえず正解できました。未登録セキスペです。
f。 @_ffff 12日前
nnouse 電話番号位の桁数までなら皆わりと憶えていられるのでは。まぁ私は自分の携帯番号を憶えるのに5年くらいかかりましたけど(微妙に実家の固定電話と似てたのが憶えにくかったのという言い訳)。
Σさん(RC) @SigmaSan4536 12日前
チンパンジーなら4択の正解率25%になるのでこの問題はギリギリ人類がチンパンを超えてた
すいか @pear00234 12日前
materialvenus 「その口座の持ち主であることを証明するモノ」という意味合いでしょう。通帳&ハンコだったり、キャッシュカード&暗証番号、時には静脈認証も追加だったりも、結局は「その口座の持ち主が自分であることを証明する手段」。
すいか @pear00234 12日前
se_monolith 今どきキャッシュカードってICチップ付きになってて、物理的に偽造不可能になってると思いますけども。
すいか @pear00234 12日前
BlancNoir_nanto 「滅びの呪文が必要なユースケース」を考えると、わりとのっぴきならない一分一秒どころか1/100秒すら争うレベルの状況の可能性がある以上、「極めて短時間で発動可能」ってのは合理的ではないでしょうか。その代わり誤作動を防ぐために条件が厳しくなっていると。
近藤 和宏 @kondoujp 12日前
yuki073 電話番号 (SIM カード/物理) と「通帳や印鑑、USB ドングルなどの物理的な媒体」だけだと単要素になるので、最低限記憶 (パスワード等) と組み合わせたほうが良いことになりますね。あと、SMS は「それはそれで弱い」ので、あくまでも「それなりに安いコストでそれなりの手段」程度の認識は必要かと。
近藤 和宏 @kondoujp 12日前
rocky_mtb カード (物理) と暗証番号 (データ) という認識だと、微妙に良くない感じがあります。 基本的に「それぞれの鍵は、照合するために有意な "情報" (コンピューター的に取り扱えるデータには限らない) として、"複数の要素で構成されているか"」という点が「多要素認証」なので、あくまでも「カード (物理鍵) と暗証番号 (記憶鍵) で保護されている」という認識でないといけないかと。
近藤 和宏 @kondoujp 12日前
se_monolith そこは「多段階であろうが、多要素であろうが、どのように安全性を担保するか」という点のバランスになってくるところで、「磁気カード (物理鍵) はそこそこ攻撃簡単だよね」と「指紋認証 (生体鍵) は、そこそこ攻撃方法確立してるよね」や「パスワードやリマインダー類 (記憶鍵) って、漏洩やソーシャルハックにクッソ弱いよね」って話ですね。
近藤 和宏 @kondoujp 12日前
materialvenus 「認証」においては、"identify" と "authentification" が同時に存在して、例えば Windows で「ユーザーの権限が一般ユーザーであるか管理者ユーザーであるか」がログオン時に判定されるのは、「"Identify" の範囲で個体識別された上で、"authentification" で個々の権限を与える、というお話なので。
近藤 和宏 @kondoujp 12日前
あ、この場合は "authentification" ではなく "authorization" が適切だった。
近藤 和宏 @kondoujp 12日前
atlan1701 パスワードリセットによるアカウントの乗っ取りではないパターンで悪用できる形が見込めたからこその話なのかな ( https://togetter.com/li/1372699 は、パスワードリセットとか関係ないとか言ってる) とかも含め考えると、「なんでこのタイミングだったのか」は、ちょっと考えないといけないところかな、と。
AoVA @AoVA 11日前
これ日本語訳が「多種要素認証」だったらだいぶ違ったんじゃないのん
山吹色のかすてーら @sir_manmos 11日前
I have(カードとか印鑑とか),I know(Passwordとか),I am(諮問とか虹彩とか)の他I doもある。I doはサインとか。
近藤 和宏 @kondoujp 11日前
pear00234 通帳には印影があり、視覚的に物理鍵 (印影) の照合を行うのが銀行窓口における業務ってのはありましたが、この辺「職人業務」なので、大規模展開的にはあまりよろしくないのですよね。 まぁ、サインでも筆跡鑑定的な話になるので、結局職人業務になり微妙って話はありますが。
長 高弘 @ChouIsamu 9日前
つまり、マーベルの悪役キャラのヒドラ・キャップ(キャプテン・アメリカと肉体的には同一だが思想的には正反対の、もう1人のキャプテン・アメリカ)は、指静脈+虹彩だと「キャプテン・アメリカが入れる場所に平気で入れてしまう」可能性が高いが、肉体的には同一でも、人生は違ってるので、生体認証+秘密の質問なら、セキュリティを突破される可能性は低くなる、と←余計、判んねぇ喩えだよ
長 高弘 @ChouIsamu 9日前
kondoujp IT屋だった頃の経験だと、デカい電機メーカー(H立とかF通とか)のIT系の事業部にとっては、銀行向けの印鑑照合システムは、結構、デカいビジネスだったかと
ログインして広告を非表示にする
ログインして広告を非表示にする