アカウント名:
パスワード:
サービス側が「秘密の質問」をどんな用途で使ってるか次第で、まったく様相は変わってきませんかね。
①「秘密の質問」がパスワードと同等に機能する。 つまり、入力すると、パスワード認証した場合と同じ権限でセッションが張られる。
⇒記事の通り。ただし、これは「役立たず」というものではなく、明らかに不都合のあるセキュリティホール。 こんな阿呆なWebサイト、今のところ見たことありませんが。
②「秘密の質問」を入力しても権限は得られず、正規ユーザに向けて「何かの情報」が通知されるのみ。
例えば、「あなたのメアドにパスワード送ったからね」とか「パスワード変
気軽に押されると迷惑なので押しにくくする目的なら、「秘密の質問」じゃなくても例えばCAPTCHAでいいよね。
「秘密の質問」はサイトによって扱いがまちまちであり、かつその「まちまちさ」を利用者が把握し辛いのが難点かと思う。「秘密の質問」はパスワードっぽいニュアンスで入力を求められて、パスワードっぽい感じで認証のリカバリに使用される印象だけれど、そのリカバリプロセスの詳細な部分を把握して入力する人ってきっと少ないよね。こういった「利用者がその入力項目の秘匿性を理解し辛い」ものは脆弱性になりがちなので、廃止した方がいいと思ってる。
CAPTCHAじゃ本人以外でも押せちゃうじゃないか
どのレベルまで押しにくくするかによるけど、元ACの求めているレベルだとCAPTCHAでもいいんじゃないの?と言う話。例としてCAPTCHAを挙げたけど「そのサイトに登録した情報で、本人が思い出せそうなもの」でも良いかな。メールアドレス(※IDがメアドではない場合)や生年月日など。それとCAPTCHAを組み合わせても良いし。
確かにこれらより「秘密の質問」を使った方が単体で見たセキュリティは恐らく高くなるだろうけれど、前述したデメリットの方が大きいと現状は思ってる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
サービス提供側が「役に立たない使い方」をしてるだけに見える (スコア:1)
サービス側が「秘密の質問」をどんな用途で使ってるか次第で、まったく様相は変わってきませんかね。
①「秘密の質問」がパスワードと同等に機能する。
つまり、入力すると、パスワード認証した場合と同じ権限でセッションが張られる。
⇒記事の通り。ただし、これは「役立たず」というものではなく、明らかに不都合のあるセキュリティホール。
こんな阿呆なWebサイト、今のところ見たことありませんが。
②「秘密の質問」を入力しても権限は得られず、正規ユーザに向けて「何かの情報」が通知されるのみ。
例えば、「あなたのメアドにパスワード送ったからね」とか「パスワード変
Re: (スコア:2)
気軽に押されると迷惑なので押しにくくする目的なら、「秘密の質問」じゃなくても例えばCAPTCHAでいいよね。
「秘密の質問」はサイトによって扱いがまちまちであり、かつその「まちまちさ」を利用者が把握し辛いのが難点かと思う。
「秘密の質問」はパスワードっぽいニュアンスで入力を求められて、パスワードっぽい感じで認証のリカバリに使用される印象だけれど、そのリカバリプロセスの詳細な部分を把握して入力する人ってきっと少ないよね。
こういった「利用者がその入力項目の秘匿性を理解し辛い」ものは脆弱性になりがちなので、廃止した方がいいと思ってる。
Re:サービス提供側が「役に立たない使い方」をしてるだけに見える (スコア:0)
CAPTCHAじゃ本人以外でも押せちゃうじゃないか
Re:サービス提供側が「役に立たない使い方」をしてるだけに見える (スコア:2)
どのレベルまで押しにくくするかによるけど、元ACの求めているレベルだとCAPTCHAでもいいんじゃないの?と言う話。
例としてCAPTCHAを挙げたけど「そのサイトに登録した情報で、本人が思い出せそうなもの」でも良いかな。メールアドレス(※IDがメアドではない場合)や生年月日など。それとCAPTCHAを組み合わせても良いし。
確かにこれらより「秘密の質問」を使った方が単体で見たセキュリティは恐らく高くなるだろうけれど、前述したデメリットの方が大きいと現状は思ってる。