アカウント名:
パスワード:
セキュリティの専門家が「パスワードの使い回しは辞めましょう」はわかるんだけどサービス提供側が「パスワードの使い回しは辞めましょう」って言い出すの毎回それはちがくない?ってなる多要素認証なりを実装してサービス提供側は防ぐべきであってログイン容易性とかを考えてビジネス側の言い分で実装しないとかやってるんだろうけどこれも一種のダークパターンじゃない?
多くのサービスが採用してる「メールアドレスがユーザID」っていうのが良くないんだよな。サービス側がメールアドレスとは別にIDを振りだすべきだと思うんだが。
そうするとID連番攻撃とかを踏む可能性がある。メールアドレスなら利用者の責任にできる
メールはメールで当該ユーザのIDが確実に定まるとか、登録の有無を確認できる問題があるんですよ。ログインはランダム数字のIDとサイト側発行の初期パスワードで、リセットのみメールで対応くらいがバランスいいんじゃないでしょうか。
ID連番・・・?推測可能な連番のIDを割り振り方がどうかしてると思うが・・・後、かつパスワードが一致しないとダメなんだから別に異常検知で引っかかるだろ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
この手の話で (スコア:0)
セキュリティの専門家が「パスワードの使い回しは辞めましょう」はわかるんだけど
サービス提供側が「パスワードの使い回しは辞めましょう」って言い出すの毎回それはちがくない?ってなる
多要素認証なりを実装してサービス提供側は防ぐべきであって
ログイン容易性とかを考えてビジネス側の言い分で実装しないとかやってるんだろうけど
これも一種のダークパターンじゃない?
Re: (スコア:0)
多くのサービスが採用してる「メールアドレスがユーザID」っていうのが良くないんだよな。
サービス側がメールアドレスとは別にIDを振りだすべきだと思うんだが。
Re:この手の話で (スコア:0)
そうするとID連番攻撃とかを踏む可能性がある。メールアドレスなら利用者の責任にできる
Re:この手の話で (スコア:2)
メールはメールで当該ユーザのIDが確実に定まるとか、登録の有無を確認できる問題があるんですよ。ログインはランダム数字のIDとサイト側発行の初期パスワードで、リセットのみメールで対応くらいがバランスいいんじゃないでしょうか。
Re: (スコア:0)
ID連番・・・?推測可能な連番のIDを割り振り方がどうかしてると思うが・・・
後、かつパスワードが一致しないとダメなんだから別に異常検知で引っかかるだろ