アカウント名:
パスワード:
登録者がどこに所属してようと、どこに登録するパスワードでも、パスワード戦略はだいたい同じってことかね。
/*昨年「お前SPAM送ってるんじゃないのか?」てな手紙をISPから受け取って以来、登録してるWeb上のサービスについて大体3ヶ月毎にパスワード変えてるけど、パスワードを何らかのルールをもとに作ってたらあっさり割られてしまうもんなのかしら。*/
登録しているWebサービスとSPAMとの関係がいまいち…ISPが警告しているのは、インセキュアなSMTP鯖を立てていてそれが悪用されている疑いがあるとかSPAMbotとして動作するウィルスに感染している疑いがあるってことでは?
Webサービス(例えばGmail)のアカウントが乗っ取られていて悪用されていてもそれはISPの感知するところでは無い気がするのです。
ISPが警告しているのは、インセキュアなSMTP鯖を立てていてそれが悪用されている疑いがあるとかSPAMbotとして動作するウィルスに感染している疑いがあるってことでは?
説明不足ですいません、後者ですね。
記憶してる限りの流れは以下のとおり。
ISPのメール送受信できなくなる→ISPから封書で「お前のメアドでSPAM送られてるて聞いてメール止めたで、再開してほしけりゃウィルススキャンとパスワード変更して連絡せぇ」と通達→そーいやだいぶパスワード変えてなかったな、と反省して対応・連絡、「次はないで」
未クラック前のパスワードを変更することにはあまり意味ないっすよ強固なパスワード→それより弱いパスワード に変更してしまった場合、変更しないほうがマシなわけで
実践的にはほぼそうなんだけど、クラックされていない、という保証は、そのパスワードを使わないことでしか為し得ないわけで、漏洩した可能性が時間(というか利用回数)とともに増えると思えば、あまり意味ない、というほどのものでもないとは思う。# とくにユーザが信用できない場合
でもまぁ、そこまでするならSecureIDとか使わせてくれよ、とは思うが。
会社で仕事でIEEE担当者が登録するとすると、「このIDこのPWで登録してます」って社内で共有してたりするせいもあるんじゃないでしょうか。個人で趣味で会員登録している人はそんなに多くないと思うので。
まぁいちばんの問題は、システム側がパスワード暗号化してなかったんですかー、と言う所なんですけどね。
こういう事があるので、決済が絡まないようなslashdotやnikkeibpみたいなサイトだったら、「ieee2012」みたいなオモチャパスワードで十分ですよ。slashdotみたいなサイトだったら、パスワードはslashhogeぐらいで十分です。
ここで変に凝ったパスワード作ったはいいけど、「それを決済サイトと使い回す」みたいな真似すると被害がデカくなります。世間では流出メアド&パスワード拾ったら、とりあえずそれでAmazonかYahoo!かRakutenにログインできないか試してみる…みたいな連中もいる訳で。。
まずメアドに乱数を入れます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
パスワードに関する考えはどこに行っても変わらないものなの? (スコア:0)
登録者がどこに所属してようと、どこに登録するパスワードでも、パスワード戦略はだいたい同じってことかね。
/*
昨年「お前SPAM送ってるんじゃないのか?」てな手紙をISPから受け取って以来、
登録してるWeb上のサービスについて大体3ヶ月毎にパスワード変えてるけど、
パスワードを何らかのルールをもとに作ってたらあっさり割られてしまうもんなのかしら。
*/
Re: (スコア:0)
登録しているWebサービスとSPAMとの関係がいまいち…
ISPが警告しているのは、インセキュアなSMTP鯖を立てていて
それが悪用されている疑いがあるとか
SPAMbotとして動作するウィルスに感染している疑いがあるってことでは?
Webサービス(例えばGmail)のアカウントが乗っ取られていて悪用されていても
それはISPの感知するところでは無い気がするのです。
Re: (スコア:0)
ISPが警告しているのは、インセキュアなSMTP鯖を立てていて
それが悪用されている疑いがあるとか
SPAMbotとして動作するウィルスに感染している疑いがあるってことでは?
説明不足ですいません、後者ですね。
記憶してる限りの流れは以下のとおり。
ISPのメール送受信できなくなる
→ISPから封書で「お前のメアドでSPAM送られてるて聞いてメール止めたで、再開してほしけりゃウィルススキャンとパスワード変更して連絡せぇ」と通達
→そーいやだいぶパスワード変えてなかったな、と反省して対応・連絡、「次はないで」
Re: (スコア:0)
未クラック前のパスワードを変更することにはあまり意味ないっすよ
強固なパスワード→それより弱いパスワード に変更してしまった場合、変更しないほうがマシなわけで
Re: (スコア:0)
実践的にはほぼそうなんだけど、クラックされていない、という保証は、そのパスワードを使わないことでしか為し得ないわけで、漏洩した可能性が時間(というか利用回数)とともに増えると思えば、あまり意味ない、というほどのものでもないとは思う。
# とくにユーザが信用できない場合
でもまぁ、そこまでするならSecureIDとか使わせてくれよ、とは思うが。
Re: (スコア:0)
会社で仕事でIEEE担当者が登録するとすると、「このIDこのPWで
登録してます」って社内で共有してたりするせいもあるんじゃないでしょうか。
個人で趣味で会員登録している人はそんなに多くないと思うので。
オモチャパスワードで十分 (スコア:0, 既出)
まぁいちばんの問題は、システム側がパスワード暗号化してなかったんですかー、と言う所なんですけどね。
こういう事があるので、決済が絡まないようなslashdotやnikkeibpみたいなサイトだったら、「ieee2012」みたいなオモチャパスワードで十分ですよ。
slashdotみたいなサイトだったら、パスワードはslashhogeぐらいで十分です。
ここで変に凝ったパスワード作ったはいいけど、「それを決済サイトと使い回す」みたいな真似すると被害がデカくなります。
世間では流出メアド&パスワード拾ったら、とりあえずそれでAmazonかYahoo!かRakutenにログインできないか試してみる…みたいな連中もいる訳で。。
Re: (スコア:0)
まずメアドに乱数を入れます。