昨日発生していたサイトログインできない不具合は修正されております(詳細はこちら)

武田圭史教授「あまり無駄なことに時間をとらせないで欲しい」#TKDKG #パスワード 「知恵袋で聞けばよろしいのでは?」

20
前へ 1 ・・ 3 4 ・・ 8 次へ
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda その場合はキーロガーによる一時的なパスワードの窃取が考えられます。リアルタイムにそのパスワードを盗まれ、有効期限内にログインに利用された場合、ログインに成功されてしまうケースはありえると思います。

2014-10-18 23:20:27
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda しかし、サービスによっては一度ログインに利用された一時的なパスワードは利用可能期間内であっても利用できなくなるものもあります。この場合は正規のユーザが先にログインした場合、不正ログインは成功しません。サービスの仕様次第ですね。

2014-10-18 23:20:38
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda また、ID/パスワードを入力した後、それとは別のデバイスでログインを承認するタイプのものもありますね。一部のSNS、銀行でこのタイプのものが利用されており、ボクも使っています。

2014-10-18 23:20:56
keijitakeda @keijitakeda

@ntsuji ありがとうございます。辻さんのポリシーに基づくとするとこのタイプがおすすめということになりますでしょうか。

2014-10-18 23:22:24
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda すべてのサービスですべてのタイプを選択する余地がない以上、これと決めておすすめすることはできません。様々な条件の下、よりより策を講じて頂くようにして欲しいと考えています。パスワードの定期変更の効果の有無、度合いと同様ケースバイケースですね。

2014-10-18 23:27:57
keijitakeda @keijitakeda

@ntsuji それはそうですね。これぐらいであれば無理なく導入できるかもしれませんね。 → 「同じデバイスによる一要素二段階でも対策としての効果がある場合もあると思います。」

2014-10-18 23:32:58
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda それはどうでしょうか。どこに無理がありどこに無理がないとおっしゃっているのか武田さんのツイートからでは判断できません。

2014-10-18 23:35:54
keijitakeda @keijitakeda

@ntsuji これMITMまたは先にログインされてしまうというリスクは依然ありますよね。

2014-10-18 23:31:22
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda 先にログインされる可能性はゼロではありません。MITMというのはどういう状況でのリスクですか?

2014-10-18 23:35:08
keijitakeda @keijitakeda

@ntsuji 「マルウェアに感染している状態」という話だったかと。

2014-10-18 23:36:04
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda マルウェアに感染してMITMとはどういうことでしょうか。

2014-10-18 23:36:26
keijitakeda @keijitakeda

@ntsuji マルウェアが感染しているPCでMITBなどユーザとサーバの間のセッション上に攻撃者の意図が介在可能な状態かと。

2014-10-18 23:37:42
Kanji Okada @okada_k

基本、頭が悪いんだな。どんな形にせよ、セッションがハイジャックされるということは、認証後ってことだろw その辺りはリアルタイムな監視乗っ取りには効果は無いが、のちのちそのセッションの利用を試すみたいなのなら、必ずサービスをログアウトするって話。

2014-10-18 23:41:18
dara-j(最適化済み) @dara_j_

一番悪いのは性格か意地だと思う。

2014-10-19 11:33:28
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda MITMとMITBは別ものでものですのできちんと区別していただきたいです。

2014-10-18 23:42:01
Kanji Okada @okada_k

もう辻さんの時間を無駄に消費しないであげて! SFCの教授の人!w

2014-10-18 23:42:34
keijitakeda @keijitakeda

@ntsuji まぁそうなんですがこの場合にMITMのリスクはないですかね。

2014-10-18 23:47:06
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda 想定されてらっしゃるのは具体的にどのようなケースでしょうか。MITM, MITBそれぞれで教えていただけますでしょうか。

2014-10-18 23:50:34
keijitakeda @keijitakeda

@ntsuji 本来のサーバーとは異なる中間者サーバーにユーザーのアクセスを誘導してトランザクションを中間者のサーバーで改ざんするのがMITM、ブラウザ上またはその前後でトランザクションを改ざんするのがMITBでは?

2014-10-18 23:52:31
Kanji Okada @okada_k

セッションを云々できるような状態は、基本、認証完了後の話でしょw だから、ひろみちゅとかが銀行のサービス向けに、ログイン認証の他にトランザクション署名とかをやれって言ってんじゃんw

2014-10-18 23:54:45
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda 質問のしかたが悪かったかもしれませんね。言葉の定義ではなく、それぞれの攻撃手法を用いられたときにどのような仕組みでどのような被害が想定されてらっしゃるのかということを質問したつもりでした。

2014-10-18 23:55:12
辻 伸弘 (nobuhiro tsuji) @ntsuji

@keijitakeda 色々な条件、状況があって、それぞれに応じた対策の有効なカバー範囲やその程度があると思っています。一度、それらを網羅的にまとめたブログエントリーなどを書いて頂いたほうがいいかもしれませんね。

2014-10-18 23:56:07
keijitakeda @keijitakeda

@ntsuji いやまぁそうなんですけどね。例えばリスト型攻撃の対策について事業者に二要素(二段階)認証を導入しましょうといってもいろいろあるじゃないですか。で、現実に多くの事業者と利用者に導入してもらうにはどういう方法があるかということを考えたいわけですよ。結構難しい問題かと。

2014-10-18 23:58:13
Kanji Okada @okada_k

自分のコンサルティングのネタを民間会社の社員に聞くSFCの教授という構図ガガガw

2014-10-19 00:01:20
keijitakeda @keijitakeda

@ntsuji twitter.com/keijitakeda/st… を使ってメールやファイルを見られたり換金性のあるポイントを盗用されたりということかと。

2014-10-19 00:02:43
前へ 1 ・・ 3 4 ・・ 8 次へ

いま話題のタグ

競馬1475 AI2314 AIイラスト266 学級会44 恋猫ちろる2 トランスジェンダー507 転職1787 学歴フィルター6 トラペジウム11 EV177 音楽36573 鬼滅の刃1247 ラーメン1296 溶接29 社会17139