Want to take advantage of all the new Twitter features?
Tweets
- Tweets, current page.
- Tweets & replies
- Media
You blocked @HiromitsuTakagi
Are you sure you want to view these Tweets? Viewing Tweets won't unblock @HiromitsuTakagi
-
端末を変更したときとか、追加するときは、どうなってるのかしら?https://ritou.hatenablog.com/entry/2019/08/22/180000 …
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
ざっくりしたやつ書いた。 GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた - r-weblifehttps://ritou.hatenablog.com/entry/2019/08/22/180000 …
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
元記事にも 「The future of authentication: secure and easy-to-use」 として今後のパスワードレスを匂わせているが今回の対応ではないし、引用Tweetにも 「Two-factor authentication that's more secure ...」 って書いてるので、その辺り触れないのは疑問。
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
変更内容としては2015年から先行実装として導入していたものをW3C勧告となった最新の仕様にリプレースことであり、重要なのはそれによって「WebAuthn対応環境」であればもれなくセキュリティキーとして利用できるようになったこと、今後さらに対応が進んでも追従可能となった点である。
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
WebAuthnはパスワードレスを実現するための仕組みだが、今回のGitHubの対応は用途を2要素目の認証方法に限ったままなので、パスワードレス を実現したかのようなタイトルと内容には違和感がある。https://twitter.com/publickey/status/1164567550585237507 …
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
publickeyさんの記事ではGithubがWebAuthnでパスワードなしでログイン可能になったかのように読めるけど(特にタイトル)、現状はそうじゃない、という私の反応です。 FIDO2 = パスワードレス、というわけではないです。
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi RetweetedThanks. Twitter will use this to make your timeline better. UndoUndo
- Hiromitsu Takagi Retweeted
原文にはどこにもパスワード不要とは書いてないのですが… https://www.publickey1.jp/blog/19/githubwebauthnmactouch_idwindows_hello.html … > GitHub currently supports security keys as a supplemental second factor.
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
FIDO2 ってパスワード要らない仕組みだっけ。なんか固定トークンはいるんじゃないのかな。まあユーザーがパスワードを意識する必要がなくなるのはいいことよなあ。 / “GitHubがWebAuthn対応を開始。MacのTouch IDやWindows Helloの指紋認証などを使いパスワードレスでログ…”https://htn.to/3BKt7zfyZT
Thanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
ブログ書きました: GitHubがWebAuthn対応を開始。MacのTouch IDやWindows Helloの指紋認証などを使いパスワードレスでログイン可能にhttps://www.publickey1.jp/blog/19/githubwebauthnmactouch_idwindows_hello.html …
Thanks. Twitter will use this to make your timeline better. UndoUndo -
要するに、攻撃者視点で言い換えると、手持ちの不正取得カード番号で不正買い物をするに際して邪魔だった3DSecureが、今回の結果、当該カード番号(や氏名)に対応するVpassアカウントとそのパスワードを一部特定できたので、突破できるようになったということ。(全部が無効化されたなら防がれるが)
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo -
その理屈で行くにしても、これから将来にわたって「ご利用明細等が閲覧」される余地があるんだから、不正ログインされたアカウント全部を無効化しないとあかんでしょ。「特定されたアクセスを遮断」したところで、別のIPアドレスからバレないようゆっくり「ご利用明細等閲覧」に来る余地があるわけで。
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo -
もしかして、「買物等の取引を行う」(=3DSecureを突破する)には、VpassのID・パスワードに対応するカード番号か氏名等が必要(流出済みカードが不正使用される想定)で、その対応関係がバレた「ご利用明細等が閲覧された」アカウントだけ、パスワード無効化の対象にした?https://twitter.com/HiromitsuTakagi/status/1165062847329497089 …
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo -
冒頭の文では全部を無効化したようにも読めるがはてさて。 https://www.smbc-card.com/company/news/news0001468.pdf …pic.twitter.com/A2wXjdS0lq
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo -
そもそも、「ご利用明細等が閲覧された」人は情報の流出自体はもう手遅れでパスワードを無効化する理由に乏しいんだが。パスワード無効化が必要となる理由はそこじゃないし、理由が違えば対象範囲も異なってくる。3DSecureが危うくなったことを(知りながら)隠したいのかな?https://twitter.com/HiromitsuTakagi/status/1165061936309948416 …
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo -
3DSecureが無意味になるんだから、不正ログインされたアカウントの全部を無効化しないといけないのに、「一部のお客さまについて」「閲覧された可能性があることから」などと頓珍漢なことを言っている。大丈夫なの?このカード会社。 https://www.smbc-card.com/company/news/news0001468.pdf …pic.twitter.com/y86QdfgXgO
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo -
なんか不自然な記載。今回の事態で3DSecureを突破される会員が生じたということじゃないのかな? https://www.smbc-card.com/company/news/news0001468.pdf … 弊社会員向けスマートフォンアプリでの不正ログインについて(三井住友カード株式会社) 「カード利用情報等の閲覧のみが可能であり、買物等の取引を行うことはできま せん。」pic.twitter.com/Gg0E4JW9sD
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
クレジットカード番号の下1桁はチェックディジットなので、下3桁のマスクということは、実質2桁のマスクですよね。残り1桁は計算で求められる。100回で総当りできますが、大丈夫か?
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
『不正ログインに使用されたID・パスワードは弊社に登録されていないものが多数含まれており、「リスト型攻撃」による不正ログインと判明しました。』 2019年8月23日 弊社会員向けスマートフォンアプリでの不正ログインについて(三井住友カード株式会社) https://www.smbc-card.com/company/news/news0001468.pdf …pic.twitter.com/PnpxOZXfzh
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo - Hiromitsu Takagi Retweeted
これ、Amazonのように下4桁が表示されるサイトとあわせ技で全ての桁が判明するわけですが…Amazonは大丈夫として、他のサイトはどうか?
Show this threadThanks. Twitter will use this to make your timeline better. UndoUndo
Loading seems to be taking a while.
Twitter may be over capacity or experiencing a momentary hiccup. Try again or visit Twitter Status for more information.