アカウント名:
パスワード:
第三者が端末にログイン出来る=暗号化したストレージに第三者がアクセス出来る前提なら、総当りに耐えられる暗号でないと意味が無い。そして128bitの鍵を作るには少なくとも20文字くらいのパスワードが必要。ほとんどのユーザーが使う8文字くらいのパスワードでは生のまま保存してるのと大差はない。
(パスワードの強さを議論せずに)マスターパスワードさえあれば端末へのアクセスを許してもいい、or 端末にアクセスされても暗号化してさえあればなんとかなる、なんて考える人が出てくるのが実際なんだから>「ユーザーに誤った安心感を与えて危険な行動を助長したくない」ってのの方が真っ当な意見だと思う。
#プライベートブラウジングは終了時に情報を削除する機能なので、次回に復号しなきゃならないパスワードの保存方法とは関係ない
その「完璧じゃないと意味がない」論法はあまり説得力がないな。総当たりをしないとアクセスできないんだから、十分意味がある。
たとえば数分間話しかけたりアクシデントを起こしたりして注意を奪うだけでいいとなれば、選択肢がずっと広がるからね。
それに、
>マスターパスワードさえあれば端末へのアクセスを許してもいい
こんな駄目ユーザがいるから意味ない、っていう論法が成立するなら、意味のあるセキュリティ対策なんてなくなってしまう。
「メモしておいたって見られなきゃ大丈夫だろ」って考える人が出てくるのが現実なんだから、パスワードはメモできる文字列であるという時点でアウト、危険な行動を助長する認証手段だ、こういう主張も可能になる。
# まぁ実際、普通のパスワードはヤバいわけだが
高頻度でPW入力を強制すると当然PWは弱くなるし、ログインされている以上生PWを盗むのと暗号化が施されたストレージを盗む時間や手間は変わらない。端末のハードウェアを短時間保護すればいいスクリーンロックとは違う完璧じゃないからダメなのではなくて、パスワード入力欄があるけど検証してませんってのと同じで、弱いパスワードとパスワード無しに差がないのに、ご利益がありそうな何かをさせる事がまずい
#ポストイットは良くないけれど、ユーザーの居室に侵入しないでも突破できるかどうかで一応差はある。あとPWが危険な場合IC認証使うでしょ
> ログインされている以上生PWを盗むのと暗号化が施されたストレージを盗む時間や手間は変わらない。目的のパスワードを知るには一瞬Chromeブラウザを操作すればOK。それとストレージを盗む手間が同じだっていうなら、まぁ味噌も糞も同じようなもんだから納得だわ。
準備さえしてあれば10秒もあれば外部にデータをコピーできるでしょ。データをコピーしてしまえばオフライン解析がいくらでもできるんだから、パスワードがかけてあってもそれが十分に強くなければデータが漏洩したのと同じ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
暗号化してもパスワードが弱すぎる (スコア:2)
第三者が端末にログイン出来る=暗号化したストレージに第三者がアクセス出来る前提なら、総当りに耐えられる暗号でないと意味が無い。
そして128bitの鍵を作るには少なくとも20文字くらいのパスワードが必要。ほとんどのユーザーが使う8文字くらいのパスワードでは生のまま保存してるのと大差はない。
(パスワードの強さを議論せずに)マスターパスワードさえあれば端末へのアクセスを許してもいい、or 端末にアクセスされても暗号化してさえあればなんとかなる、なんて考える人が出てくるのが実際なんだから
>「ユーザーに誤った安心感を与えて危険な行動を助長したくない」
ってのの方が真っ当な意見だと思う。
#プライベートブラウジングは終了時に情報を削除する機能なので、次回に復号しなきゃならないパスワードの保存方法とは関係ない
Re: (スコア:2, 参考になる)
その「完璧じゃないと意味がない」論法はあまり説得力がないな。
総当たりをしないとアクセスできないんだから、十分意味がある。
たとえば数分間話しかけたりアクシデントを起こしたりして
注意を奪うだけでいいとなれば、選択肢がずっと広がるからね。
それに、
>マスターパスワードさえあれば端末へのアクセスを許してもいい
こんな駄目ユーザがいるから意味ない、っていう論法が成立するなら、
意味のあるセキュリティ対策なんてなくなってしまう。
「メモしておいたって見られなきゃ大丈夫だろ」って考える人が出てくるのが現実なんだから、
パスワードはメモできる文字列であるという時点でアウト、危険な行動を助長する認証手段だ、
こういう主張も可能になる。
# まぁ実際、普通のパスワードはヤバいわけだが
Re: (スコア:2)
高頻度でPW入力を強制すると当然PWは弱くなるし、ログインされている以上生PWを盗むのと暗号化が施されたストレージを盗む時間や手間は変わらない。端末のハードウェアを短時間保護すればいいスクリーンロックとは違う
完璧じゃないからダメなのではなくて、パスワード入力欄があるけど検証してませんってのと同じで、弱いパスワードとパスワード無しに差がないのに、ご利益がありそうな何かをさせる事がまずい
#ポストイットは良くないけれど、ユーザーの居室に侵入しないでも突破できるかどうかで一応差はある。あとPWが危険な場合IC認証使うでしょ
Re: (スコア:0)
> ログインされている以上生PWを盗むのと暗号化が施されたストレージを盗む時間や手間は変わらない。
目的のパスワードを知るには一瞬Chromeブラウザを操作すればOK。
それとストレージを盗む手間が同じだっていうなら、
まぁ味噌も糞も同じようなもんだから納得だわ。
Re:暗号化してもパスワードが弱すぎる (スコア:0)
準備さえしてあれば10秒もあれば外部にデータをコピーできるでしょ。データをコピーしてしまえばオフライン解析がいくらでもできるんだから、パスワードがかけてあってもそれが十分に強くなければデータが漏洩したのと同じ。