- wvwwvvwvwvvvwvw
- 16881
- 1
- 4
- 10
@keijitakeda その場合はキーロガーによる一時的なパスワードの窃取が考えられます。リアルタイムにそのパスワードを盗まれ、有効期限内にログインに利用された場合、ログインに成功されてしまうケースはありえると思います。
2014-10-18 23:20:27@keijitakeda しかし、サービスによっては一度ログインに利用された一時的なパスワードは利用可能期間内であっても利用できなくなるものもあります。この場合は正規のユーザが先にログインした場合、不正ログインは成功しません。サービスの仕様次第ですね。
2014-10-18 23:20:38@keijitakeda また、ID/パスワードを入力した後、それとは別のデバイスでログインを承認するタイプのものもありますね。一部のSNS、銀行でこのタイプのものが利用されており、ボクも使っています。
2014-10-18 23:20:56@ntsuji ありがとうございます。辻さんのポリシーに基づくとするとこのタイプがおすすめということになりますでしょうか。
2014-10-18 23:22:24@keijitakeda すべてのサービスですべてのタイプを選択する余地がない以上、これと決めておすすめすることはできません。様々な条件の下、よりより策を講じて頂くようにして欲しいと考えています。パスワードの定期変更の効果の有無、度合いと同様ケースバイケースですね。
2014-10-18 23:27:57@ntsuji それはそうですね。これぐらいであれば無理なく導入できるかもしれませんね。 → 「同じデバイスによる一要素二段階でも対策としての効果がある場合もあると思います。」
2014-10-18 23:32:58@keijitakeda それはどうでしょうか。どこに無理がありどこに無理がないとおっしゃっているのか武田さんのツイートからでは判断できません。
2014-10-18 23:35:54@keijitakeda 先にログインされる可能性はゼロではありません。MITMというのはどういう状況でのリスクですか?
2014-10-18 23:35:08@ntsuji マルウェアが感染しているPCでMITBなどユーザとサーバの間のセッション上に攻撃者の意図が介在可能な状態かと。
2014-10-18 23:37:42基本、頭が悪いんだな。どんな形にせよ、セッションがハイジャックされるということは、認証後ってことだろw その辺りはリアルタイムな監視乗っ取りには効果は無いが、のちのちそのセッションの利用を試すみたいなのなら、必ずサービスをログアウトするって話。
2014-10-18 23:41:18@keijitakeda MITMとMITBは別ものでものですのできちんと区別していただきたいです。
2014-10-18 23:42:01@keijitakeda 想定されてらっしゃるのは具体的にどのようなケースでしょうか。MITM, MITBそれぞれで教えていただけますでしょうか。
2014-10-18 23:50:34@ntsuji 本来のサーバーとは異なる中間者サーバーにユーザーのアクセスを誘導してトランザクションを中間者のサーバーで改ざんするのがMITM、ブラウザ上またはその前後でトランザクションを改ざんするのがMITBでは?
2014-10-18 23:52:31セッションを云々できるような状態は、基本、認証完了後の話でしょw だから、ひろみちゅとかが銀行のサービス向けに、ログイン認証の他にトランザクション署名とかをやれって言ってんじゃんw
2014-10-18 23:54:45@keijitakeda 質問のしかたが悪かったかもしれませんね。言葉の定義ではなく、それぞれの攻撃手法を用いられたときにどのような仕組みでどのような被害が想定されてらっしゃるのかということを質問したつもりでした。
2014-10-18 23:55:12@keijitakeda 色々な条件、状況があって、それぞれに応じた対策の有効なカバー範囲やその程度があると思っています。一度、それらを網羅的にまとめたブログエントリーなどを書いて頂いたほうがいいかもしれませんね。
2014-10-18 23:56:07@ntsuji いやまぁそうなんですけどね。例えばリスト型攻撃の対策について事業者に二要素(二段階)認証を導入しましょうといってもいろいろあるじゃないですか。で、現実に多くの事業者と利用者に導入してもらうにはどういう方法があるかということを考えたいわけですよ。結構難しい問題かと。
2014-10-18 23:58:13@ntsuji twitter.com/keijitakeda/st… を使ってメールやファイルを見られたり換金性のあるポイントを盗用されたりということかと。
2014-10-19 00:02:43