アカウント名:
パスワード:
第三者が端末にログイン出来る=暗号化したストレージに第三者がアクセス出来る前提なら、総当りに耐えられる暗号でないと意味が無い。そして128bitの鍵を作るには少なくとも20文字くらいのパスワードが必要。ほとんどのユーザーが使う8文字くらいのパスワードでは生のまま保存してるのと大差はない。
(パスワードの強さを議論せずに)マスターパスワードさえあれば端末へのアクセスを許してもいい、or 端末にアクセスされても暗号化してさえあればなんとかなる、なんて考える人が出てくるのが実際なんだから>「ユーザーに誤った安心感を与えて危険な行動を助長したくない」ってのの方が真っ当な意見だと思う。
#プライベートブラウジングは終了時に情報を削除する機能なので、次回に復号しなきゃならないパスワードの保存方法とは関係ない
その「完璧じゃないと意味がない」論法はあまり説得力がないな。総当たりをしないとアクセスできないんだから、十分意味がある。
たとえば数分間話しかけたりアクシデントを起こしたりして注意を奪うだけでいいとなれば、選択肢がずっと広がるからね。
それに、
>マスターパスワードさえあれば端末へのアクセスを許してもいい
こんな駄目ユーザがいるから意味ない、っていう論法が成立するなら、意味のあるセキュリティ対策なんてなくなってしまう。
「メモしておいたって見られなきゃ大丈夫だろ」って考える人が出てくるのが現実なんだから、パスワードはメモできる文字列であるという時点でアウト、危険な行動を助長する認証手段だ、こういう主張も可能になる。
# まぁ実際、普通のパスワードはヤバいわけだが
> パスワードはメモできる文字列であるという時点でアウトつまりホワイトスペースでパスワードを登録できないサイトは脆弱性
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
暗号化してもパスワードが弱すぎる (スコア:2)
第三者が端末にログイン出来る=暗号化したストレージに第三者がアクセス出来る前提なら、総当りに耐えられる暗号でないと意味が無い。
そして128bitの鍵を作るには少なくとも20文字くらいのパスワードが必要。ほとんどのユーザーが使う8文字くらいのパスワードでは生のまま保存してるのと大差はない。
(パスワードの強さを議論せずに)マスターパスワードさえあれば端末へのアクセスを許してもいい、or 端末にアクセスされても暗号化してさえあればなんとかなる、なんて考える人が出てくるのが実際なんだから
>「ユーザーに誤った安心感を与えて危険な行動を助長したくない」
ってのの方が真っ当な意見だと思う。
#プライベートブラウジングは終了時に情報を削除する機能なので、次回に復号しなきゃならないパスワードの保存方法とは関係ない
Re: (スコア:2, 参考になる)
その「完璧じゃないと意味がない」論法はあまり説得力がないな。
総当たりをしないとアクセスできないんだから、十分意味がある。
たとえば数分間話しかけたりアクシデントを起こしたりして
注意を奪うだけでいいとなれば、選択肢がずっと広がるからね。
それに、
>マスターパスワードさえあれば端末へのアクセスを許してもいい
こんな駄目ユーザがいるから意味ない、っていう論法が成立するなら、
意味のあるセキュリティ対策なんてなくなってしまう。
「メモしておいたって見られなきゃ大丈夫だろ」って考える人が出てくるのが現実なんだから、
パスワードはメモできる文字列であるという時点でアウト、危険な行動を助長する認証手段だ、
こういう主張も可能になる。
# まぁ実際、普通のパスワードはヤバいわけだが
Re:暗号化してもパスワードが弱すぎる (スコア:1)
> パスワードはメモできる文字列であるという時点でアウト
つまりホワイトスペースでパスワードを登録できないサイトは脆弱性