アカウント名:
パスワード:
> 「ユーザーにパスワードを選ばせたりなんかせず、ユーザーがクリックするリンクを気にしないようなシステムをデザインするべきなのだ」セキュリティで話題になるとよく思うんだが,パスワード自体が無理なんじゃないかと.ユーザに管理させるには 負担を強いすぎる:パスワードの個数とか,サイトが許容するパスワードの制約とか.
サイトごとに(例えば 懸賞サイトなんかにすら) アカウント+パスワードがある;アカウント名は,重複チェックに引っかかったら別名にしなきゃいけない;パスワードは,サイトの入力制約がバラバラ (e.g. 文字数,文字種);なんて,まともに管理できるわけがない.
パスワード管理ツールを使う とか,パスワードを一定アルゴリズムで決める(固定パス+サイト固有のフレーズ+salt) とか,みたいなライフハックはありますが,それをユーザーに強いるソリューションって どうよ,という.
そろそろ パスワード以外の解法が出て欲しいなあ と思うんですが,どんなのがありますかね?
見知ったところで言うと,OAuth (e.g. Twitter) がありますが,あれがなかったら きっとみんな発狂してる.Twitterのちみこいサービス類とか.
とはいえ,関連度が高い または 重要度の低いサービス でしか運用できない気がしますが.結局 大元の垢は パスワード管理ですし,全部まるっと一垢で管理 なんてできないですし(e.g. Twitter垢に銀行垢を紐付け;なにそれこわい).
現実的なところなら 携帯アプリとか利用しての セキュリティトークン (e.g. Google二段階認証) ですかね.
指紋認証とかの生体認証系ですかねぇ。専用の機械が必要なのがネックですが。
PC外のツールとして、認証トークンみたいなツールとか。電話やメールで認証情報を送る方式とか。
キーボード入力のクセで認証する方式とか、わりと便利そうなんですけど、一般的じゃないですねぇ……
生体認証は、パスワードが歩いているのと変わらない。指紋を取るのは簡単だし、静脈も虹彩も、居酒屋で酔いつぶれて寝ている隙に、とかいくらでも手がある。認証機器が普及すると盗み取るのも、より簡単になる
バイオレンス系のフィクションだと指だの手首だのを切断して持っていくなんてのもありますし、実際にもゼラチンで作ったフェイクで指紋認証や掌紋認証をパスできたなんていうのもありますな。
生体認証はパスワードじゃ無くIDの代わりだと何度言えば
首に紐でカードをぶら下げるより、いつも手に張り付いていた方が便利ですからね。
ド近視の自分にとっては、メガネのツルに埋め込めるようなチップがあると有りがたいな、と思ったりします。
生体認証にしても、ICカードや携帯機器を使うにしても、盗みとられたらおしまいってのがありますからね。
パスワードだって一度盗まれたら全滅するからって、同じパスワードを複数サイトで使うなって言ってるでしょ(誰も守っちゃいないだろうけど)。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
パスワード以外の解法って ないんだろうか? (スコア:2)
> 「ユーザーにパスワードを選ばせたりなんかせず、ユーザーがクリックするリンクを気にしないようなシステムをデザインするべきなのだ」
セキュリティで話題になるとよく思うんだが,パスワード自体が無理なんじゃないかと.
ユーザに管理させるには 負担を強いすぎる:
パスワードの個数とか,サイトが許容するパスワードの制約とか.
サイトごとに(例えば 懸賞サイトなんかにすら) アカウント+パスワードがある;
アカウント名は,重複チェックに引っかかったら別名にしなきゃいけない;
パスワードは,サイトの入力制約がバラバラ (e.g. 文字数,文字種);
なんて,まともに管理できるわけがない.
パスワード管理ツールを使う とか,パスワードを一定アルゴリズムで決める(固定パス+サイト固有のフレーズ+salt) とか,
みたいなライフハックはありますが,それをユーザーに強いるソリューションって どうよ,という.
そろそろ パスワード以外の解法が出て欲しいなあ と思うんですが,どんなのがありますかね?
Re:パスワード以外の解法って ないんだろうか? (スコア:1)
見知ったところで言うと,OAuth (e.g. Twitter) がありますが,
あれがなかったら きっとみんな発狂してる.Twitterのちみこいサービス類とか.
とはいえ,関連度が高い または 重要度の低いサービス でしか運用できない気がしますが.
結局 大元の垢は パスワード管理ですし,
全部まるっと一垢で管理 なんてできないですし(e.g. Twitter垢に銀行垢を紐付け;なにそれこわい).
現実的なところなら 携帯アプリとか利用しての セキュリティトークン (e.g. Google二段階認証) ですかね.
Re:パスワード以外の解法って ないんだろうか? (スコア:1)
指紋認証とかの生体認証系ですかねぇ。
専用の機械が必要なのがネックですが。
PC外のツールとして、
認証トークンみたいなツールとか。
電話やメールで認証情報を送る方式とか。
キーボード入力のクセで認証する方式とか、わりと便利そうなんですけど、
一般的じゃないですねぇ……
Re: (スコア:0)
生体認証は、パスワードが歩いているのと変わらない。
指紋を取るのは簡単だし、静脈も虹彩も、居酒屋で酔いつぶれて寝ている隙に、とかいくらでも手がある。認証機器が普及すると盗み取るのも、より簡単になる
Re:パスワード以外の解法って ないんだろうか? (スコア:1)
バイオレンス系のフィクションだと指だの手首だのを切断して持っていくなんてのもありますし、実際にもゼラチンで作ったフェイクで指紋認証や掌紋認証をパスできたなんていうのもありますな。
Re: (スコア:0)
生体認証はパスワードじゃ無くIDの代わりだと何度言えば
Re: (スコア:0)
首に紐でカードをぶら下げるより、いつも手に張り付いていた方が便利ですからね。
ド近視の自分にとっては、メガネのツルに埋め込めるようなチップがあると有りがたいな、と思ったりします。
Re: (スコア:0)
Re: (スコア:0)
生体認証にしても、ICカードや携帯機器を使うにしても、
盗みとられたらおしまいってのがありますからね。
パスワードだって一度盗まれたら全滅するからって、同じパスワードを複数サイトで使うなって言ってるでしょ(誰も守っちゃいないだろうけど)。