パスワードを忘れた? アカウント作成

「ログインしたまま」「ブラウザにパスワードを記憶」を利便性重視と評価、フィッシング対策協議会」記事へのコメント

  • よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけど
    パスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い
    特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど

    どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強
    そして生体認証でショルダーハッキング対策すれば完璧

    • ランダムで強度の高いパスワードを使う必要があったのは、多要素認証が無くパスワードに依存していた時代。

      今のみずほ銀行だったら、振込機能の悪用には

      (1) お客さま番号 (≠口座番号) … 知識情報 または 所持情報 (書かれているカードがあるため)
      (2) いつもと違う環境からのログインの場合、秘密の質問の答え1 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
      (3) いつもと違う環境からのログインの場合、秘密の質問の答え2 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
      (4) ログインパスワード … 知識情報
      (5) ハードウェア

      • わざわざ強調していて重要と考えているところ恐縮だけども
        「もうパスワードなんていらないよね?」
        の方向にセキュリティ業界は進んでいます
        "パスワードレス認証" のキーワードをもしご存じなければご一考ください

        • 頭いいこと言っているつもりなんだろうけど、"パスワードレス認証" っていうのは、ログイントークンや公開鍵認証の秘密鍵を端末に保存することを前提としており(「所持情報」に該当)、
          その上でローカル認証の PIN(知識情報)や 指静脈認証等 (生体情報) を組み合わせることをセキュリティ上推奨している。

          サーバに送信するパスワードでも、ローカル認証のPINでも、多要素認証を考える上での知識情報に該当するのは同じこと。

          • by Anonymous Coward

            本質的に「パスワードに相当するもの」が必要なのは認めますが「ユーザーが忘れるかもしれないけど思い出す必要のあるパスワード」は不要ってことです。
            あと、PINとか生体情報とかは操作が似ているだけでパスワードじゃないです。

            • by Anonymous Coward

              その内パスワード不要な認証方法の操作の仕方も忘れる時代がくるよ

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...