アカウント名:
パスワード:
冗談ではなく、いくつかのサービスは、「ID」を変えられる。
パスワードの問題と勘違いしている人があまりにも多すぎるが、リスト型攻撃が成立しているのは、メールアドレスを複数用意することが面倒・難しいからであって、ログインIDにメールアドレスを使わせず、個々のサービスで別IDを設定できるようにしておけば、メールアドレスで名寄せされたリストに効果がなくなる。
パスワードを変えるよりも安全。なぜかというと、リストから抜け出せるから。攻撃者はパスワードだけでなく、IDの探索から始めなければならなくなる(が、効率が悪いから、攻撃を受けにくくなる)。
過去、そう
まあ、ちょっとセキュリティを齧った方なら誰でも一度は通る思考ですよね。後で読み返して恥ずかしくなるやつ。
7Payではメールアドレスが知られていただけで情報が流出する状況だった。被害を免れる可能性があったのは、IDに使ったメールアドレスを他サービスで使ってなかった人だけ。
メールアドレスをIDとして使い回さないことで被害を免れる実例があるということは、この方策がセキュリティ確保に有効だという証左。
ちょっとセキュリティを齧っただけの実務知らずは、ID連携やメールアドレスID利用の「デメリット」を全く理解していない。リスト型攻撃は、メールアドレスをIDに使いまわすようになってから顕著になった、という歴史がある。デメリ
ちょっとセキュリティを齧っただけの理論知らずは、IDは秘匿情報ではないという前提を知れないのだな。こうして我流で作られるかんたんログインが理論屋の一突きで崩壊し、発案者は渦中で混乱するばかりで責任は取らないというわけだ。
「IDを知られたら情報漏洩の確率に影響する」事実は、「IDは秘匿情報ではない」こととなんら反しない。
あなたは情報理論どころか条件付き確率すらも判ってなかったんだね。
それを勘案する態度がいかんのよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
定期的なパスワードの変更 (スコア:3)
それをユーザーに押し付けているあたり、結局ダメダメな感じ。
パスワードがダメならIDを変えればいいじゃない by マリー・アントワネット(偽) (スコア:1)
冗談ではなく、いくつかのサービスは、「ID」を変えられる。
パスワードの問題と勘違いしている人があまりにも多すぎるが、
リスト型攻撃が成立しているのは、メールアドレスを複数用意することが面倒・難しいからであって、
ログインIDにメールアドレスを使わせず、個々のサービスで別IDを設定できるようにしておけば、
メールアドレスで名寄せされたリストに効果がなくなる。
パスワードを変えるよりも安全。なぜかというと、リストから抜け出せるから。
攻撃者はパスワードだけでなく、IDの探索から始めなければならなくなる(が、
効率が悪いから、攻撃を受けにくくなる)。
過去、そう
Re:パスワードがダメならIDを変えればいいじゃない by マリー・アントワネット(偽) (スコア:0)
まあ、ちょっとセキュリティを齧った方なら誰でも一度は通る思考ですよね。後で読み返して恥ずかしくなるやつ。
Re: (スコア:0)
7Payではメールアドレスが知られていただけで情報が流出する状況だった。
被害を免れる可能性があったのは、IDに使ったメールアドレスを他サービスで使ってなかった人だけ。
メールアドレスをIDとして使い回さないことで被害を免れる実例があるということは、
この方策がセキュリティ確保に有効だという証左。
ちょっとセキュリティを齧っただけの実務知らずは、ID連携やメールアドレスID利用の「デメリット」を全く理解していない。
リスト型攻撃は、メールアドレスをIDに使いまわすようになってから顕著になった、という歴史がある。
デメリ
Re: (スコア:0)
ちょっとセキュリティを齧っただけの理論知らずは、IDは秘匿情報ではないという前提を知れないのだな。
こうして我流で作られるかんたんログインが理論屋の一突きで崩壊し、発案者は渦中で混乱するばかりで責任は取らないというわけだ。
Re: (スコア:0)
「IDを知られたら情報漏洩の確率に影響する」事実は、「IDは秘匿情報ではない」こととなんら反しない。
あなたは情報理論どころか条件付き確率すらも判ってなかったんだね。
Re: (スコア:0)
それを勘案する態度がいかんのよ。