回答編集履歴
2
追記した
test
CHANGED
|
@@ -20,3 +20,14 @@
|
|
|
20
20
|
その検討の結果で決まった手段が「6桁の認証コード」であれば、それで良いと言うことでしょう。
|
|
21
21
|
|
|
22
22
|
④でいうと、IDとパスワードでログインできた状態で、二要素認証の電話番号を自由に変更できる仕様だとすると、何桁であっても突破されますね。
|
|
23
|
+
|
|
24
|
+
追記:
|
|
25
|
+
タイトルの、
|
|
26
|
+
> 6桁の認証コードは総当たり攻撃に弱いかどうか
|
|
27
|
+
に回答してませんでしたが、上に書いた、
|
|
28
|
+
> 普通の流れの「ユーザIDとパスワードで認証する。その次に、二要素認証のために登録済みメールアドレスや電話番号に認証コードを送り、それを元の画面に入力させる」、
|
|
29
|
+
であれば、総当たり攻撃は無理ですね。せいぜい2-3回のトライで、それらに失敗したら認証コードを再発行するしかないでしょうから、またゼロからトライです。おそらく再発行回数にも上限があるはずで、それでサイト側が異常に気づきます。平行して、本人に認証コードが何度も届くので本人も異常に気づきます。
|
|
30
|
+
|
|
31
|
+
数字4桁とか6桁の認証コードというのは、二要素認証でしか見たことが無いのですが、総当たり攻撃可能なようなケースでの「6桁の認証コード」というのは、一体どんなケースを考えての質問でしょうか?
|
|
32
|
+
質問の趣旨が、「総当たり攻撃が可能なケースで、6桁の数字を認証に使うのは有りか無しか?」の検討であるなら、「無し」というのが自明でしょう。
|
|
33
|
+
|
1
補足
test
CHANGED
|
@@ -10,7 +10,7 @@
|
|
|
10
10
|
|
|
11
11
|
一般論としては、
|
|
12
12
|
①利用者にどの程度の作業までさせるのか(=利用者はどれいくらいのめんどくささまで許容しそうか)
|
|
13
|
-
②利用者のIT環境はどんなものを前提にするか?(スマホ所有必須?とか)
|
|
13
|
+
②利用者のIT環境はどんなものを前提にするか?(スマホ所有で回線契約必須?とか)
|
|
14
14
|
③利用者のITリテラシーはどの程度と想定するか
|
|
15
15
|
④利用者が登録済みのメールアドレスや電話番号が使えなくなっている状態の場合に、運営側としてはどうしたいか
|
|
16
16
|
⑤どの程度の強度を保ちたいか
|