まぁ、マジレスすると、ハッシュ化のアルゴリズム的に、a-zA-Z0-9と記号を使うと「70 ^ 桁数」になるわけだけど、攻撃者としては「桁数を広言してくれると」それ以外のパターンを考慮しなくて済むから、狙いを定めやすいよね。逆に言うと、嘘の桁数を言われると、絶対に解けないわけですが。というわけで、嘘つきになろう。あと、ワンタイムパスワードを使うと、パスワードをゲロっても再現可能な装置がなくなるので、スマホをぶっ壊すとかで、より強くなるぜ。

Permalink | 記事への反応(0) | 14:59

2021-08-21

■anond:20210821162343

ワンタイムパスワードカードって持ってなかった？

なんかちっちゃい電卓みたいなやつ。

昔っからパスワードカードの使用自体にセキュリティはなかったし、結局暗証番号との組み合わせでしか使えないから、ログインしなくてもいいってことなんだと思うよ。

アプリ内で振り込みするときは勝手にワンタイムパスワード入力されるし、アプリ外でわちゃわちゃしてワンタイムパスワードを参照させるときに、わざわざログインする手間をかけさせないっていう点で便利にしてくれてるとも思う。

Permalink | 記事への反応(0) | 16:32

■三菱UFJのワンタイムパスワード

なんでスマホアプリいちいちログアウトしないといけないんだ？

というかログアウトした状態でどうやってユーザー情報一致させてるんだ？

させる必要がないのか？

ワンタイムパスワードとは？

なんもわからん・・・

Permalink | 記事への反応(1) | 16:23

2021-01-20

■スクエニのネトゲ アカウントが回線再接続の度にパスワード変更を要求してくる

うんこ

しかし有名税の分「友人同士でアカウントを共用してプレイする（月額課金はなし、または1プレイヤー分）」ということがある以上、致し方ないのだろう

めんどくさいなあ

なおスマホでワンタイムパスワード表示させるのもあるが、回線再接続の頻度とログイン頻度を考慮した結果、そっちのほうがめんどくさいという結論になった

どうせならスマホﾎﾟﾁｰすれば3分間だけログイン試行できますみたいなのにして欲しい

Permalink | 記事への反応(0) | 10:21

2021-01-11

■anond:20210111214259

銀行はひどいよ。

地銀連合が使ってるワンタイムパスワードアプリもひどい。

https://apps.apple.com/jp/app/%E3%83%AF%E3%83%B3%E3%82%BF%E3%82%A4%E3%83%A0%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89/id493205060

Permalink | 記事への反応(0) | 21:45

2020-11-02

■某大企業のDX状況を教えるよ！

某大企業に勤めてるよ！

みんな絶対に知ってる日本でトップクラスっていうかある意味トップの企業だよ！

もちろんDXをゴリゴリに推進しているし「DX」と名の入った部署まで作って本気だよ！

そんなうちの会社の最新のDX事情を教えてあげるYO！

もちろんDaaS

社内システムはもちろんDaaS（Desktop As A Service）を使ってるよ！

要するにリモートデスクトップだよ！

社内全員がDaaSを利用するんだけど負荷を抑えるためにWindowsのインデックスサーチはOFFにされてるよ！

なのでファイル検索はめちゃくちゃ遅いしOutlookのメール検索も死ぬほど遅いよ！

おまけに一人あたり20GBの容量しか使えないよ！でも基本的にメールのやりとりだからメールだけで使い切るよ！

え？使い切ったらどうするかって？もちろん、古いメールは削除だよ！

なんで20GBしか使えないのか聞いたら、「平均して20GBしか使ってない」んだって！

ってことは平均以上の半分の人は見捨てられたんだね！

スマホに入ってるmicroSDですら128GB使えるけどね！

ちなみに不正防止の観点でメール等の証跡は全部別のサーバに蓄積されているよ！社員からは見えないけどね！

あと、インデックスサーチOFFにされてるけど、結局はセレロン並の遅さだよ！

ファイルの暗号化

ファイルは全部暗号化されているよ！

だから USBで持ち出しても外では開けないよ！セキュアだね！DaaSだから USB刺さらないけどね！

ちなみに暗号化の解除は社員なら了承無しで誰でもできるよ！不便だもんね！

本当に危ないファイルはzipでパスワードを独自に付ける人が多いよ！

でもほとんどの人が4桁数字しか使わないしzipにパスワード付けてるだけだから

困ったときはブルートフォースして一瞬で開けるよ！便利だね！

もちろんリモートワーク対応

コロナより前からリモートワークしてたよ！

だからリモートワーク環境もバッチリ！

DaaSにつなぐためにVPNを張るよ！ワンタイムパスワードで保護してるからセキュリティもバッチリ！

ちなみにこのVPNはDaaSのサーバにしか繋げないVPNだよ！

DaaSにはTLSでアクセスするんだけど、念の為 VPNで更にセキュアにしてるよ！

そのせいでVPN繋ぐとトラフィックがそっちに吸い取られてインターネット通信できないよ！

キーロガー仕込まれてたとしても安心かもね！後で送信されたら一緒だけどね！

ちなみにコロナのときはVPNへのアクセス集中でみんな仕事できなくなったよ！DaaSは余裕があったけどね！

Web 会議もバッチリ

社内システムのWeb 会議システムがあるからリモートでも会議可能だよ！

DaaS上でしか使えないからラグとエコーがひどくて結局現地で開催されている会議を聞くだけのツールになってるけどね！

最近流行りの最先端 Web 会議システムも使うよ！

なぜかZOOMは初期の頃に猛烈な反対にあって使用不可になったけどね！

DaaS上でしか使えないから映像はほとんど無理だし音声もエコーだらけだけどね！

だからみんな自分の携帯でログインして画面共有のために二重ログインしてるよ！

メールはもちろんPPAP

メールに添付ファイル付けるともちろんPPAP（パスワード ZIP送付、パスワード送付、暗号化、プロトコル）してるよ！

しかも送られるのはZIPじゃなくて自己解凍 exeだよ！

exe送れないこと多いからex_にしてから送って、受け取り側でexeにして実行してもらうよ！

ZIP ソフト無くても解凍できるなんて親切だよね！

４，５年前はこの状態だったけど、これは流石に修正されたのかな？実際に送られたファイルを知らないからわかんないね！

標的型メール訓練もバッチリ

最近話題の標的型メールへの対策も完璧！

定期的に訓練が実施されているよ！

「訓練が実施されるのでうっかり開いた人は報告してね」

っていうメールが事前に来るよ！親切だね！

訓練メールはだいたいWordのdoc ファイルが付いていて開封したらHTTP リクエストが飛ぶ仕掛けで開封したかどうかが分かるよ！

ちなみに受け取っただけなら報告はいらないらしいよ！

この時期に本当の標的型メールが来てたらどうするんですか？っていう質問の回答は未だに返ってこないね！

周知メールは周知ページへのリンク

社員への周知がある場合は、周知ページへのリンクがメールされてくるよ！

たとえどんなに些細な周知（社長が挨拶に来ます、とか）でもリンクがメールされるよ！

リンクを踏むとIE9が開いて貧相なページが表示されるんだけど、そこにもまだ内容はないよ！

貧相なページの下に更にリンクがあって、Word ファイルがダウンロードされるよ！

Word ファイルをダウンロードして激重のDaaSで開封すると

「社長が○月○日に挨拶に来ます」

だけ書いてあるよ！

稼働管理の多重化

社員がどれだけ働いてるかの稼働はしっかり管理されてるよ！

勤務表に投入するだけじゃなくて、どういう作業をしたかの稼働までちゃんと入れるよ！

別々のシステムだから同じ内容を入れるんだけどね！

毎日１５分単位で始業開始時刻と終業時刻と休憩時間を入れるよ！

ちなみに2つのシステムで業務時間に誤差があると物凄く怒られるよ！

最近知ったけど日々の業務時刻はどうでもよくて合計しか見てないらしいけどね！

チェックシート エクセルシート

信じられないぐらいチェックシートをたくさん用意して不正防止に努めてるよ！

鉛筆一本買うだけでもとんでもないチェックをしないといけないよ！

チェックが多すぎて誰もチェックしないっていうのが常態化してるよ！

あ、ダブルチェックトリプルチェックは当たり前なので、責任希薄になってやっぱり誰もチェックしないよ！

ちなみに事件は頻繁に起きてるよ！だって、肝心のシステム側がザルだからね！

ペーパーレス

チェックシートは前は紙にサインだったけどペーパーレス化が進んだから PDF保存になったよ！

様式の見た目は印刷物と同じだからすごく入力しにくいけどね！

おまけにファイルは暗号化されちゃうので検索で引っかからないよ！

ファイル名で検索するしかないから、ファイル名を間違えてると内容が合ってても後ですごく困るよ！

あと会計に少しでも関わるものは絶対にペーパーレスにならないよ！

領収書は原本いらなくなったって何回言っても原本保管から変わってくれないよ！

飛行機の領収書とかPDFをダウンロードしてきて印刷して保管してるよ！

肝心の半券は不要だからやろうと思えばPDF ダウンロードした後にキャンセルできるけどね！

パスワード ログイン

業務で使うサーバにログインするときは共通アカウント・共通パスワードが常識だよ！

だいたいのパスワードはアカウント名＋1234みたいな感じだよ！

この前、公開鍵設置して秘密鍵でログインしようとしたらなぜか弾かれてて、よく見たらわざわざOFFにしてあったよ！

公開鍵認証の話をしたら「は？なにそれ？」みたいな顔をされたよ！

あ、もちろんパスワードの定期変更は推奨されてるよ！

社内システムも3ヶ月でパスワード変更しないといけないよ！

コミュニケーション ツールの導入

なんと今流行りのチャットコミュニケーションツールが導入されたよ！

グループ会社が作った肝入りソフトだよ！

社内のDaaS からはアクセスできるけど、社外からはアクセスできないほどセキュアだよ！

でもでも、スマホアプリなら社外からでもアクセスできるよ！よくバグで落ちてるけどね！

定期的な人事異動

今のようなことを情シスに言っても何も変わらないよ！だって、ほとんど素人だからね！

3年で人事異動でメンバーが入れ替わるから、それまで問題を起こさないために何もしないよ！

おわり

こんな感じでDXを進めてるよ！

もちろん客先では「うちは最先端のDXやってます」って言ってるよ！

胸が痛いね！

追記

なんか知らんうちにめっちゃのびててビビってるよ！

フェイクをちょっと混ぜといてよかったよ！本当は「社長が挨拶に来る」じゃなくて副社長だよ！

割と酔った勢いで書いたから今読み返したら意味わからんだろう内容があるのはごめんよ！

どこの会社か教えてほしい

教えられるわけないよ！

これDXじゃなくね？

ごめんね！そうだね！ガチDX施策のクソさも書きたいけどさすがに身バレするね！

本当に書きたかったのは社内システムこんなクソなのにもっとDXしよう！って言ってるシュールさと

社外的に「DXしましょう！うちはプロですから！」って言ってるとこだよ！

こんなにいろいろやっててえらい

つぎ足しつぎ足しの秘伝のシステムになってるのが問題だよ！

もはや全部変えると予算がつかないからこんなことになってるよ！

でもたぶん全部MS社にしてOffice 365とOneDriveにしたら問題の8割は解決しそうだよ！

付き合わされてる下請けとかかわいそう

この辺のシステム請けてるのがそもそもグループ会社ってのが日本の一般的な大企業だよ！

そこで働いてる人はおじいちゃんばっかりで若者はみんな派遣だよ！

この辺のシステムが最適化されると派遣が切られちゃうから下請けはたぶん喜んでるよ！

おわりのおわり

みんなの会社はこんなにひどくないと信じてるけど

DXとか言うなら社内システムをちゃんとしようね！

人差し指タイピングする人（結構多い）にちゃんとタイピング教えてあげてね！

Permalink | 記事への反応(28) | 11:21

2020-10-08

■なぜ、本人確認にこだわるのか

俺はまぁラディカルというか原理主義者なので、本人確認なんてものはID+パスワードでいいと思っているわけ。

でも割とよく世間では、ID+パスだけだと本人の確認になっていないとか言うアホ理論がまかり通っていて、そんなわけねーだろということを証明します。

多要素認証

他要素認証を使えば本人確認になる、という説がまことしやかにまかり通っているけど、そんなのじゃ「本人確認」にはなりません。

例えばメジャーなスマホを使った確認を例に取ると、ID+パス入力だけじゃなく、事前登録したスマホに入っている暗号アプリで、自動生成した暗号を入力すると、ID+パス+スマホの所持が揃ったので本人です。って感じで認証するんだけど、これスマホ奪われてたら誰でもできるよな。

確率低い？とはいえ本人意外もできるっていう点だと、ID+パスワードと同じで「本人を確認」したことにはならんだろう。

同じことはEメールへワンタイムパスワードを送付して、ID+パスワード+ワンタイムパスワードで認証する方法もだけど、これも、メールアドレスの権利を確認してるだけど、それが奪われていたら、本人以外でも利用できる。

事前に物理的な乱数表もドングルもマイナンバーカードつかった認証も、奪われれば本人以外が認証突破できるので、「本人確認」できるとは限らない。

ID+パスワードより強度は上がるけど、それは認証の強度が上がったと言うべきであり「本人確認」できるとか、いいきっちゃうのは、本質を知らないで適当にセキュリティ語ってて、だるい。

生体認証

じゃあ生体認証使えば良いという。感じもするかもしれないけど、指紋のコピーとか簡単にできます。

顔認証も難しいかもしれないけど頑張れば突破できそうだし、何なら本人の指やら首を切り落とせば、突破できると思うので、これも「本人確認」したことになるとは限らない。双子とかクローン使うこともできるしな。

代理の問題

例えば友人とか、本人の許可を得て代理としてシステムやサービスを操作する必要がある場面ってあるわけで、

そういう場面だとID+パスワードだけ知っていれば代理操作をすることができるわけです。

あ、お前らは友達居なかったな。でも大丈夫、ボットサービスとかに代理に処理をしてもらうことを考えれば同じで、

ボットサービスに操作してもらいたいサービスのID+パスを登録すれば、それだけで代理に操作してもらえる。

これが、多要素認証になると、代理操作出来ないくなる。「本人」が操作を代理させる意志をもっていても、端末を友達に貸し与えて四六時中持ち歩かせるわけにもいかないし、よくわからねーボットサービスに指紋情報やら、生体認証を登録するのやりすぎてる。

セキュリティ上がってるとか喜んでるけど、それは裏を返せば使い勝手が下がっているとも言えるわけです。

そこまで使い勝手が下がってて、じゃあそれに報いるだけのセキュリティ上昇が期待できるかと言われれば、前述のように本気を出せば他人がそのセキュリティを突破することはできるわけで、基本的にはコスパ悪い。

もちろん医療とか金融とかクリティカルな場面では使うべきだと思うけど、何でもかんでも多要素認証、生体認証、みたいなノリは気が狂ってるとしか言いようがない。

あとセキュリティが上がっているだけで「本人確認」ではない。ボットにスマホを預けるとかメールを読み取る権利を渡せば実現できる。くっそめんどくさいし危険だけどできる。本人意外が操作できるってことは「本人確認」として機能していない証拠です。

本人確認は出来ないのか？

はい、出来ません。限りなく本人っぽいです。ということまでしかわかりません。

仮に対面で人間が認証するって事になっても、詐欺師の人は整形もすれば書類も偽造で取り揃えます。

なので、本人確認は基本的に無理です。

軽々しく「本人確認」とか言うな。本人って誰が判定するんだよ。まわりか？

まわりが勝手に「本人」であることを認証したり確認したとしてだよ、その「本人」が記憶喪失になって、「本人」であることを拒絶したのならそいつは本人なのか？それとも別人か？

答えろ！

Permalink | 記事への反応(9) | 14:20

2020-09-17

■

ワンタイムパスワードなんてわからないから、振り込めない

セキュリティーに殺される

セキュリティーが一番危険な犯罪

Permalink | 記事への反応(0) | 13:45

2020-09-12

■[増田統計]2020年 9月11日 金曜日の増田

時間	記事数	文字数	文字数平均	文字数中央値
00	63	6841	108.6	45
01	43	2986	69.4	35
02	75	9293	123.9	36
03	30	2426	80.9	27
04	27	3021	111.9	49
05	15	2695	17 9.7	71
06	27	4365	161.7	76
07	63	6945	110.2	42
08	60	6444	107.4	45
09	89	12415	139.5	58
10	163	9448	58.0	35
11	137	12058	88.0	48
12	169	11416	67.6	35
13	118	13971	118.4	55.5
14	77	8987	116.7	45
15	100	9819	98.2	41
16	92	7464	81.1	35.5
17	84	5935	70.7	34.5
18	144	9780	67.9	35
19	110	13705	124.6	43
20	118	17251	146.2	27
21	168	29757	177.1	38
22	148	21159	143.0	30
23	128	13714	107.1	31
1日	2248	241895	107.6	39

本日の急増単語 ()内の数字は単語が含まれる記事数

女性棋士(3), 天一(8), ロックフェラー(3), コモロ(6), tumblr.(3), PUDO(3), クリスマスツリー(3), ロ座(4), 競走(4), ブルートフォース(3), Map(3), ワンタイムパスワード(3), 大麻(19), 出生(12), 菅(10), 最高裁(6), 盗ま(7), 口座(11), タワマン(6), 銀行(19), 税(9), 手足(5), ネタバレ(11), 高学歴(10), 天(8), 接続(7), 支持率(8), 増税(13), 消費税(22), 反(12), 上位(12), 登録(17), 支え(10), 違法(10), 生理(9), 把握(11), ちんぽ(9), 運用(10)

頻出トラックバック先 ()内の数字は被トラックバック 件数

■夫が赤ちゃん過ぎてキモい /20 200911024025(41), ■３大「季節限定でなく年中売れや」食べ物 /20 200910180518(14), ■「レンジでチンする」みたいな言い回し教えて /20190910220907(14), ■総理名言集 /20 200910213757(13), ■インターネットキッズに対する「OOしてそう」という罵倒が好き /20 200911140808(11), ■FAX 問題の件 /20 200911083630(10), ■女は「でも」って反論してくる男が大嫌い /20 200911010 118(9), ■はてブを使わなくなってみて、このサービスがどれだけ偏ってるか実感した /20 200911 111852(9), ■買い物バッグの中で寿司パックが倒れる /20 200911183138(9), ■天一好きな人いる？ /20 200910 175449(8), ■子供に対するネットリテラシー教育について /20 200911082344(8), ■騎士を紳士に替えると面白い言葉 /20 200911181547(8), ■立憲民主党もしんでくれ /20 200911210218(7), ■ブコメ、すっかり無意味になったな /20 200910011 129(6), ■腐女子のお気持ち長文書いてみたい /20 200910 105134(6), ■まともな政策が出来ないのか /20 200911 103914(6), ■はてブ意味わかんねえよ！！！！ /20 200910165303(5), (タイトル不明) /20 200911142405(5), ■VTuber 楠栞桜さんのファンによる言論統制もどきへのお気持ち /20 200911131435(5), ■まさか優生思想反対派って競馬の血統を全否定？ /20 200911 110245(5), ■大麻について /20 200911210917(5)