パスワードを忘れた? アカウント作成

「ログインしたまま」「ブラウザにパスワードを記憶」を利便性重視と評価、フィッシング対策協議会」記事へのコメント

  •  いつもログインしてるところならブラウザが記憶してるが、初見のフィッシングサイトをブラウザが記憶しているわけがないのでパスワードの手入力を求められる。いつもの違う操作を要求されることで、フィッシングサイトであることに気付くなんてケースもあるのでは。

     ブラウザ側の実装によっては安全性が高まるという側面もあるのではないか。

    ここに返信
    • by Anonymous Coward

      少なくとも毎回ログインしてると、ログイン作業に慣れが生じるわけで、フィッシングサイトを開いたときに気がついてストップする可能性は下がるよなぁ。

      • by Anonymous Coward

        少なくとも毎回ログインしてると、ログイン作業に慣れが生じるわけで、フィッシングサイトを開いたときに気がついてストップする可能性は下がるよなぁ。

        逆だろ。毎回手入力でパスワード入力してたらそれが「慣れ」になってしまう

        初見のフィッシングサイトでも慣れたまんま入力してしまうハメになるよ

        • by Anonymous Coward

          何同じこと書いているの?

          「毎回ログインしてると、ログイン作業に慣れが生じる」=「毎回手入力でパスワード入力してたらそれが「慣れ」になって」
          「気がついてストップする可能性は下がる」=「慣れたまんま入力してしまう」

    • by Anonymous Coward

      それな。
      端末にパスワードないしはセッションキーを保存する事は賛否あるだろうが、
      フィッシング対策という一点において見ればパスワードないしセッションキー保存は大正義。

      パスワードも覚えきれる範囲だと使いまわしや強度に不安が出やすいけど、
      何らかのパスワードマネージャを使うならその問題もない。
      パスワードマネージャからパスワードが盗まれるリスクだけ警戒すれば良い。
      ただし、暗号化なしな場合中間者攻撃にかなり弱い。条件にもよるが当該サイトへのアクセス無しでも盗まれ得る。

      • by Anonymous Coward

        セッション情報盗み取れるってブラウザ脆弱性の話題は昔見た
        情報は適宜見直した方が良いね

        • by Anonymous Coward

          無料WiFiやLanコネクタの先に細工されてるケースで考えると、
          暗号化されてない場合は脆弱性ほぼ関係ないのよ。
          一切の生HTTPアクセスが無いってならともかく、
          一個でも開いたらそこから標的サイトを読みに行かせて、
          標的サイトへのアクセス時に送るクッキー情報を読んだり、
          標的サイトのログインページロードさせて自動入力されたパスワードを読み取ったり。

          ブラウザの挙動や標的サイトの作りによっては出来ないけど、
          今時HTTPでログインできるサイトが真面目に対策してるかはお察し。

犯人はmoriwaka -- Anonymous Coward

処理中...