アカウント名:
パスワード:
そろそろ「パスワードをユーザに決めさせてはいけない」というのが浸透して欲しい。
ソルトのように、ユーザー決定部分の他にサイト決定部分の連結文字列にすれば良いんだよね。
サイト決定部分がユーザーごとに別で、推測が難しいならいいけど、それだったら、パスワード全体をサイトが決めてもよくね?
覚えられない→メモに書いておく→メモが流出というリスク。メモっとく部分(サイト毎に違う)+覚えとく部分(全サイト同じ)にすれば良いか。
実際のところ、メモが流出して大事故になった例がどれほどあるというのか。昨今の流出事故を顧みると、もはやユーザーが自分でパスワードを設定できるといこと自体がセキュリティーホール。
オンラインのパスワード管理システムだとそれ自身が狙われるのでイケてないこともあるけど、ローカルのプレーンテキストだとマルウェア踏んだ状況ですら、機械的に盗まれる可能性はそこまで高くなさそうだしね。もうその時点でロガーとか仕込まれる方が現実的リスクになる。攻撃可能なのは物理アクセス可能な相手が主体で、ストレージ暗号化してマメにロックしてればショルダーハック警戒すれば事足りる。
ただ、事例ベースで話をするとパスをメモる時点で論外扱いされて、それによる副次被害が余程大きくないと話題にならず認知されないことも多い。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
パスワードの運用ルール (スコア:0)
そろそろ「パスワードをユーザに決めさせてはいけない」というのが浸透して欲しい。
Re: (スコア:0)
ソルトのように、ユーザー決定部分の他にサイト決定部分の連結文字列にすれば良いんだよね。
Re: (スコア:0)
サイト決定部分がユーザーごとに別で、推測が難しいならいいけど、それだったら、パスワード全体をサイトが決めてもよくね?
Re: (スコア:0)
覚えられない→メモに書いておく→メモが流出というリスク。
メモっとく部分(サイト毎に違う)+覚えとく部分(全サイト同じ)にすれば良いか。
Re: (スコア:0)
実際のところ、メモが流出して大事故になった例がどれほどあるというのか。
昨今の流出事故を顧みると、もはやユーザーが自分でパスワードを設定できるといこと自体がセキュリティーホール。
Re:パスワードの運用ルール (スコア:0)
オンラインのパスワード管理システムだとそれ自身が狙われるのでイケてないこともあるけど、
ローカルのプレーンテキストだとマルウェア踏んだ状況ですら、
機械的に盗まれる可能性はそこまで高くなさそうだしね。
もうその時点でロガーとか仕込まれる方が現実的リスクになる。
攻撃可能なのは物理アクセス可能な相手が主体で、
ストレージ暗号化してマメにロックしてればショルダーハック警戒すれば事足りる。
ただ、事例ベースで話をするとパスをメモる時点で論外扱いされて、
それによる副次被害が余程大きくないと話題にならず認知されないことも多い。