アカウント名:
パスワード:
「パスワードのようにランダムな文字列を設定する」のならば、もはやそれは「質問」である意味が無いのだから質問じゃなくて二次パスワードもしくはアカウント情報更新専用パスにすればいいんじゃないのかな。
「どのサイトでどの質問を選んだか」をそらで覚えてられる人は少ないだろうからメモしておかないといけない項目も増えてしまうし。
システムを構築する側がどうするかという話ではありません。そもそも構築する側なら、こんなセキュリティホールにしかならない機能は採用しなければよいだけ。自分が利用するシステムで、どうしてもこういった機能の使用を求められた場合に、どう自衛するのかという話です。
今は終了したとあるサービスでは、質問の最後の選択肢が「自己責任で忘れないようにするので、デタラメな文字列を入れます」(大意)だったし、セキュリティのためパスワードと同様秘密の質問もハッシュ化していると言っていた。
秘密の質問の回答は普通ハッシュ化して保存する(で、このとき正規化して空白を抜いたり、全角に揃えたり、濁音を結合用記号に分けたりしないと入力方法によってズレる)けど、秘密の質問をハッシュ化したら、画面に表示できないじゃん。
秘密の質問もユーザに入力させるの?
秘密の質問を自分で書くタイプのもありましたね(現存するかは知らない)。
別の話だけど、「半年以上アクセスしなかったら必ず秘密の質問に回答しないとパスワード入力画面にすら行けない」というシステムがありパスワードは別に記録してあって分かるんだけど(選択式の)どの質問でどんな回答を設定したのかさっぱり覚えていないのでアクセス不可になっちゃった、ってのがあったなぁ。
ねんきんネットがそうですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
質問である意味がない (スコア:2)
「パスワードのようにランダムな文字列を設定する」のならば、
もはやそれは「質問」である意味が無いのだから
質問じゃなくて二次パスワードもしくはアカウント情報更新専用パスにすればいいんじゃないのかな。
「どのサイトでどの質問を選んだか」をそらで覚えてられる人は少ないだろうから
メモしておかないといけない項目も増えてしまうし。
--------------------
/* SHADOWFIRE */
Re: (スコア:1)
システムを構築する側がどうするかという話ではありません。
そもそも構築する側なら、こんなセキュリティホールにしかならない機能は採用しなければよいだけ。
自分が利用するシステムで、どうしてもこういった機能の使用を求められた場合に、どう自衛するのかという話です。
Re: (スコア:1)
今は終了したとあるサービスでは、質問の最後の選択肢が「自己責任で忘れないようにするので、デタラメな文字列を入れます」(大意)だったし、セキュリティのためパスワードと同様秘密の質問もハッシュ化していると言っていた。
Re: (スコア:1)
秘密の質問の回答は普通ハッシュ化して保存する(で、このとき正規化して空白を抜いたり、全角に揃えたり、濁音を結合用記号に分けたりしないと入力方法によってズレる)けど、秘密の質問をハッシュ化したら、画面に表示できないじゃん。
秘密の質問もユーザに入力させるの?
Re: (スコア:0)
秘密の質問を自分で書くタイプのもありましたね(現存するかは知らない)。
別の話だけど、
「半年以上アクセスしなかったら必ず秘密の質問に回答しないとパスワード入力画面にすら行けない」というシステムがあり
パスワードは別に記録してあって分かるんだけど
(選択式の)どの質問でどんな回答を設定したのかさっぱり覚えていないのでアクセス不可になっちゃった、ってのがあったなぁ。
Re:質問である意味がない (スコア:0)
ねんきんネットがそうですね。