アカウント名:
パスワード:
> パスワードの一部がヒントとして平文で表示されることから、未だに平文でパスワードを保存しているのではないか素朴な疑問だけど、パスワードって必ず不可逆暗号化しないといけないの? 鍵さえ安全に保管されていれば、別に可逆暗号でもいいような気がするけど。
平文かどうかとか、鍵が安全とか、そういう問題じゃ無い。パスワードの一部分を公開するって、正気の沙汰じゃない。パスワードは本人を確認する仕組みであって、本人が確認する仕組みではない。
何の意味があってこんな事するの?誰か教えてー。
パスワードがpasswordや123456とか、IDとパスワードを一緒にしている人のリスティングが捗りますねぇ。
やっちゃいけないことをやりやがった感
一応二段階認証になってるから、悪意の第三者であっても容易にはパスワード確認ページまでたどり着かないよ。まぁ、認証コードのメール送ってるだけなので、メール抜かれる環境ならばダメだけど…。
とはいえ、パスワードの一部が出てきた時は驚いた。心臓に悪いことしないで欲しい。先頭と末尾の1文字ずつ、「p*********d」みたいに表示されるんだけどもね。※ *の長さはパスワード長とは無関係。
正直、パスワード確認して何やるかというと、退会するだけなんだよね。他にやれることも無いんだし。だったら、認証メールで確認した段階で、退会しますか? ってやればいいだけと思うのだよ。あるいは、メール認証だけで新規パスワード発行でもいい。
ホント、何考えてパスワード一部表示なんてやったんだか…。正気とは思えないし、今後も使い続けるとかマジあり得ない。
6桁だったらもう残り4桁しかない……
よくクレカの下4桁だけ表示みたいなのがあるから、それくらいは問題ないと思ってるのかね。
> よくクレカの下4桁だけ表示みたいなのがあるから
これは PCI DSS とかで基準として決まってるよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
パスワードを可逆暗号化するのは「悪」ですか (スコア:-1)
> パスワードの一部がヒントとして平文で表示されることから、未だに平文でパスワードを保存しているのではないか
素朴な疑問だけど、パスワードって必ず不可逆暗号化しないといけないの? 鍵さえ安全に保管されていれば、別に可逆暗号でもいいような気がするけど。
Re: (スコア:2, すばらしい洞察)
平文かどうかとか、鍵が安全とか、そういう問題じゃ無い。
パスワードの一部分を公開するって、正気の沙汰じゃない。
パスワードは本人を確認する仕組みであって、本人が確認する仕組みではない。
何の意味があってこんな事するの?誰か教えてー。
Re: (スコア:0)
パスワードがpasswordや123456とか、IDとパスワードを一緒にしている人のリスティングが捗りますねぇ。
やっちゃいけないことをやりやがった感
Re: (スコア:0)
一応二段階認証になってるから、悪意の第三者であっても容易にはパスワード確認ページまでたどり着かないよ。
まぁ、認証コードのメール送ってるだけなので、メール抜かれる環境ならばダメだけど…。
とはいえ、パスワードの一部が出てきた時は驚いた。心臓に悪いことしないで欲しい。
先頭と末尾の1文字ずつ、「p*********d」みたいに表示されるんだけどもね。
※ *の長さはパスワード長とは無関係。
正直、パスワード確認して何やるかというと、退会するだけなんだよね。
他にやれることも無いんだし。
だったら、認証メールで確認した段階で、退会しますか? ってやればいいだけと思うのだよ。
あるいは、メール認証だけで新規パスワード発行でもいい。
ホント、何考えてパスワード一部表示なんてやったんだか…。正気とは思えないし、今後も使い続けるとかマジあり得ない。
Re: (スコア:0)
6桁だったらもう残り4桁しかない……
よくクレカの下4桁だけ表示みたいなのがあるから、それくらいは問題ないと思ってるのかね。
Re:パスワードを可逆暗号化するのは「悪」ですか (スコア:1)
> よくクレカの下4桁だけ表示みたいなのがあるから
これは PCI DSS とかで基準として決まってるよ。