アカウント名:
パスワード:
パスワードという機微情報にあれこれ口出しされるのは良い気分がしない。プライベートゾーンにぺたぺた触られる感じ。いくらブラウザ上で照合しているから安全だと言われても、それを開発者ツールで毎回確認するなんて手間は取れないし。不正利用補償の義務を負う金融機関ですらここまでやる例は聞かないのに、pixiv程度の少額決済サービスでここまでやる必要性って?悪意のある利用者を弾くならわかるけど、善意の利用者を弾く仕組みだよね、これ。「パスワードリスト攻撃でアカウント情報が漏洩したらブランドイメージに傷が付きます」とでも言って上を説得したんだろうか。昨年、度重なるUI改悪で炎上 [twitter.com]したのもそうだけど、社内で仕事にあぶれた技術者が余計な仕事を作り出してる気がする。
>パスワードという機微情報パスワードはセキュリティにおける最重要部分じゃないか。お前は何を言ってるんだ。
???お、おう……だから親コメはそう言ってるんだが(なんだこのトートロジー)
>親コメはそう言ってるんだが一言も言ってない。
> き‐び【機微】 の解説>表面だけでは知ることのできない、微妙なおもむきや事情。「人情の機微に触れる」https://dictionary.goo.ne.jp/word/%E6%A9%9F%E5%BE%AE/ [goo.ne.jp]
どこにセキュリティの重要部分の意味がある?
ひょっとしてトートロジーの意味を知らないのかな。それともまさか、機微と機密が同じ意味だと思ってた?
ひょっとして機微情報という用語を知らないのかな。君の出したそのgoo国語辞書のページにも書いてあるよね。調べたのは偉いけど不十分な調べ方でマウント取るのはお笑い種だね。
機微 の慣用句・熟語(1)出典:デジタル大辞泉(小学館) きびじょうほう【機微情報】 ⇒センシティブ情報
センシティブ情報(セン [goo.ne.jp]
そうやって甘やかすから不正アクセスでボロボロ個人情報漏れるんだよ。そのうち皆の大好きなマイナンバーカードで1段階目認証→各サイトへ遷移して2段階目のログイン認証とか出てくるよ。
webサイト開発者は、Javascriptをふんだんに使った今風のUX/UIを作りたがるので、使いにくくなる印象だなハイスペックPCと、高速低遅延の通信回線がないと、もっさりして使いにくい
たったイラスト画像1枚しかない単独のページに、Javascript埋め込みまくって5秒も10秒も表示に時間かかってる今のPixivはほんとデザイナーのオナニーサイトになってるよまじで首にするべき
オナニーサイトと言えばニジエのUIはもっと評価されるべき
あれは旧pixiv UIのパクりで、つまりpixivが改悪しかしていないことの証明
> 不正利用補償の義務を負う金融機関ですらここまでやる例は聞かないのに、pixiv程度の少額決済サービスでここまでやる必要性って?大多数の金融機関は昔っから二要素認証してるしダメなパスワードを登録・更新時に弾いてるから既存パスワードの棚卸は必須ではないPixivは最近まで弾いてすらいなかったから棚卸の必要性もある比較要素の解像度が悪いから必要性に気が付けないだけだと思うよ
> 悪意のある利用者を弾くならわかるけど、善意の利用者を弾く仕組みだよね、これ。善意の利用者であれば事故・事件に合わない、なんてことはないまた善意だの悪意だのはシステム的には判断しようがない悪意のある利用者とやらを弾くためには、一策として脆弱なパスワードを廃止するというのは、普通に分かることだと思うよ
> 大多数の金融機関は昔っから二要素認証してるしダメなパスワードを登録・更新時に弾いてるから既存パスワードの棚卸は必須ではない
金融機関が脆弱なパスワードを弾き出したのも割と最近のことじゃないですかね。データベースの拡張に制限があるのか記号は使えませんとか長さは数十文字までとか安全対策が遅れがちな印象。
そういえばpixivも多要素認証対応検討しますみたいなことを昨年1月に言ってて結局まだ実装されてないんですよね。この調子だと実装した途端に多要素認証必須とかにしてきそうで怖いな。
> 悪意のある利用者とやらを弾くためには、一策として脆弱なパスワードを廃止するというのは、普通に分かることだと思うよ
悪意をもって脆弱なパスワードでサインアップする利用者なんていませんし、いたとしても配慮する必要なんてないでしょう。
s/数十文字/十数文字/
記号が使えないのはデータベースのせいじゃなくて、記号が入力できないデバイスからログインする可能性を考えてのことだったりしないのかな。
「データベースの仕様で」なんてのが理由だとすると、それは平文のパスワードを保存していることを意味するんだから全く問題外だし。
データベースというか連携システムも含めたの入出力の都合ですかね。一昔前のネットバンキングは紙ベースでパスワードの申請・郵送をしてたので、どこかの段階で平文のパスワードを扱う必要があったはず。データベースへの保存はハッシュ化じゃなくて可逆暗号でヨシ!
CHAPは可逆な形でパスワードを保存しなければならない(その代わり通信路上ではハッシュ化されている)定期
大多数の金融機関が「本人確認はドコモ側でやっているからヨシ!」してるなんてことありえないよね。
> パスワードという機微情報にあれこれ口出しされるのは良い気分がしない。 あー...いるなこういう人。もう何十年も昔、SunOSでパスワードの脆弱性検査を走らせたら部長のアカウントが引っかかった。で、それを伝えたらなぜか激昂。おそらく飲み屋のねーちゃんの源氏名をパスワードに設定していたからとのうわさ。 # ちなみに私のアカウントも引っかかりました。テヘ
その割に2要素認証を未だに実装してないとか、無能な働き者感強い
二段階認証は珍しくはないが、二要素認証は「未だに」というほど見かける気はしないな
それではここで二要素認証サービス調査一覧を見てみましょうhttps://2fa.directory/ [2fa.directory]
MFAなしのサイトはクレカ取り扱い禁止ぐらいはあってもいいと思うんだよね
そんなんやるぐらいなら、まずはイシュアに3D Secure 2.0の提供を義務付けてほしい。
「このサイトでは課金なんてしないから適当な覚えやすい弱いパスワードでいい」っていうユーザーの選択と利便性を奪わないでほしい
自由ってそういうことだろ
アカウントを乗っ取られたときの被害者はユーザではなくアクセス管理者です。そしてアクセス管理者は不正アクセス行為に対する防護措置をとる努力義務があります(不正アクセス禁止法第八条)。
現在の日本の法律ではユーザの権利じゃないんですよそれ。
そもそも、大抵利用規約でアカウントの譲渡を禁止してるからユーザーは発行されたアカウントを借りてるだけなんだよね。
Pixivのアカウントで同社の販売サービスであるBooth [booth.pm]にログインできますので、アカウントを盗まれると金銭的な被害が発生する可能性はありそうです。 また、アップロードした画像の権利を乗っ取った人が主張したり、乗っ取られたアカウントからspamや殺害予告出されたりしても困るので、一般論としても弱いパスワードは使わない方が良いのではないかと。
それは「自由」ではない。どちらかと言えば「自分勝手」「無責任な振る舞い」と言った方がいい。あるいは飯屋の「ご自由にお取りください」の取り違えである。つまり、あなたは区別ができていないか、(自分)勝手な解釈をしている。
「このサイトを使うか使わないか」が選択できるのがユーザの自由で、サイトを使うなら利用規約を遵守する、逆を言えば、利用規約を遵守するユーザであれば運営は拒んではならない、というのが私達の社会における「自由平等」なんです。利用規約を遵守するユーザであるなら、パスワードは安全なものをご自由に設定してください。安全な範囲で“ご自由に”、というのが、正しい解釈、責任ある行動なんですよ。
大体、無料サービスを提供する運営側への理解がそもそも欠如しているし、インターネット犯罪に巻き込まれる危険性を過小評価している。犯罪者というのは、防犯対策が手薄なところを狙っているんですよ。後、アカウントを消すことを目的とした愉快犯(「このムカつくやつのアカウント消したい」って動機)がいることを覚えておいてほしい。
> いくらブラウザ上で照合しているから安全だと言われても、
誰がそんなこと言ってるの? どう考えても平文で送信されたパスワードをサーバー側で照合してるんだけど。
ああ、すみません。HIBPのAPIは原理上ブラウザ上で照合が完結するから、そういう実装になっているものだと思い込んでました。実際のpixivは平文のパスワードを送信させて、サーバ側でハッシュ化したHIBPのリストに照会を掛けてるようですね。
ログインのたびに10GB以上あるデータをダウンロードするのはいくら何でも富豪的すぎるだろ。
23KBで済みますよ?https://api.pwnedpasswords.com/range/21BD1 [pwnedpasswords.com]
ごめん、ハッシュの先頭5桁をサーバーに送っておいて「ブラウザ上で照合」と表現しているとは想像もつかなかった。ほとんど嘘なのでは
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
やりすぎでは? (スコア:0)
パスワードという機微情報にあれこれ口出しされるのは良い気分がしない。プライベートゾーンにぺたぺた触られる感じ。
いくらブラウザ上で照合しているから安全だと言われても、それを開発者ツールで毎回確認するなんて手間は取れないし。
不正利用補償の義務を負う金融機関ですらここまでやる例は聞かないのに、pixiv程度の少額決済サービスでここまでやる必要性って?
悪意のある利用者を弾くならわかるけど、善意の利用者を弾く仕組みだよね、これ。
「パスワードリスト攻撃でアカウント情報が漏洩したらブランドイメージに傷が付きます」とでも言って上を説得したんだろうか。
昨年、度重なるUI改悪で炎上 [twitter.com]したのもそうだけど、社内で仕事にあぶれた技術者が余計な仕事を作り出してる気がする。
Re:やりすぎでは? (スコア:1)
>パスワードという機微情報
パスワードはセキュリティにおける最重要部分じゃないか。
お前は何を言ってるんだ。
Re: (スコア:0)
???お、おう……だから親コメはそう言ってるんだが
(なんだこのトートロジー)
Re: (スコア:0)
>親コメはそう言ってるんだが
一言も言ってない。
> き‐び【機微】 の解説
>表面だけでは知ることのできない、微妙なおもむきや事情。「人情の機微に触れる」
https://dictionary.goo.ne.jp/word/%E6%A9%9F%E5%BE%AE/ [goo.ne.jp]
どこにセキュリティの重要部分の意味がある?
ひょっとしてトートロジーの意味を知らないのかな。
それともまさか、機微と機密が同じ意味だと思ってた?
Re: (スコア:0)
ひょっとして機微情報という用語を知らないのかな。
君の出したそのgoo国語辞書のページにも書いてあるよね。
調べたのは偉いけど不十分な調べ方でマウント取るのはお笑い種だね。
センシティブ情報(セン [goo.ne.jp]
Re: (スコア:0)
そうやって甘やかすから不正アクセスでボロボロ個人情報漏れるんだよ。
そのうち皆の大好きなマイナンバーカードで1段階目認証→各サイトへ遷移して2段階目のログイン認証とか出てくるよ。
Re: (スコア:0)
webサイト開発者は、Javascriptをふんだんに使った今風のUX/UIを作りたがるので、
使いにくくなる印象だな
ハイスペックPCと、高速低遅延の通信回線がないと、もっさりして使いにくい
Re: (スコア:0)
たったイラスト画像1枚しかない単独のページに、Javascript埋め込みまくって5秒も10秒も表示に時間かかってる今のPixivはほんとデザイナーのオナニーサイトになってるよ
まじで首にするべき
Re: (スコア:0)
オナニーサイトと言えばニジエのUIはもっと評価されるべき
Re: (スコア:0)
あれは旧pixiv UIのパクりで、つまりpixivが改悪しかしていないことの証明
Re: (スコア:0)
> 不正利用補償の義務を負う金融機関ですらここまでやる例は聞かないのに、pixiv程度の少額決済サービスでここまでやる必要性って?
大多数の金融機関は昔っから二要素認証してるしダメなパスワードを登録・更新時に弾いてるから既存パスワードの棚卸は必須ではない
Pixivは最近まで弾いてすらいなかったから棚卸の必要性もある
比較要素の解像度が悪いから必要性に気が付けないだけだと思うよ
> 悪意のある利用者を弾くならわかるけど、善意の利用者を弾く仕組みだよね、これ。
善意の利用者であれば事故・事件に合わない、なんてことはない
また善意だの悪意だのはシステム的には判断しようがない
悪意のある利用者とやらを弾くためには、一策として脆弱なパスワードを廃止するというのは、普通に分かることだと思うよ
Re: (スコア:0)
> 大多数の金融機関は昔っから二要素認証してるしダメなパスワードを登録・更新時に弾いてるから既存パスワードの棚卸は必須ではない
金融機関が脆弱なパスワードを弾き出したのも割と最近のことじゃないですかね。
データベースの拡張に制限があるのか記号は使えませんとか長さは数十文字までとか安全対策が遅れがちな印象。
そういえばpixivも多要素認証対応検討しますみたいなことを昨年1月に言ってて結局まだ実装されてないんですよね。
この調子だと実装した途端に多要素認証必須とかにしてきそうで怖いな。
> 悪意のある利用者とやらを弾くためには、一策として脆弱なパスワードを廃止するというのは、普通に分かることだと思うよ
悪意をもって脆弱なパスワードでサインアップする利用者なんていませんし、いたとしても配慮する必要なんてないでしょう。
Re: (スコア:0)
s/数十文字/十数文字/
Re: (スコア:0)
記号が使えないのはデータベースのせいじゃなくて、
記号が入力できないデバイスからログインする可能性を
考えてのことだったりしないのかな。
「データベースの仕様で」なんてのが理由だとすると、
それは平文のパスワードを保存していることを意味するんだから
全く問題外だし。
Re: (スコア:0)
データベースというか連携システムも含めたの入出力の都合ですかね。
一昔前のネットバンキングは紙ベースでパスワードの申請・郵送をしてたので、どこかの段階で平文のパスワードを扱う必要があったはず。
データベースへの保存はハッシュ化じゃなくて可逆暗号でヨシ!
Re: (スコア:0)
CHAPは可逆な形でパスワードを保存しなければならない(その代わり通信路上ではハッシュ化されている)定期
Re: (スコア:0)
大多数の金融機関が「本人確認はドコモ側でやっているからヨシ!」してるなんてことありえないよね。
Re: (スコア:0)
> パスワードという機微情報にあれこれ口出しされるのは良い気分がしない。
あー...いるなこういう人。
もう何十年も昔、SunOSでパスワードの脆弱性検査を走らせたら部長のアカウントが引っかかった。
で、それを伝えたらなぜか激昂。
おそらく飲み屋のねーちゃんの源氏名をパスワードに設定していたからとのうわさ。
# ちなみに私のアカウントも引っかかりました。テヘ
Re: (スコア:0)
その割に2要素認証を未だに実装してないとか、無能な働き者感強い
Re: (スコア:0)
二段階認証は珍しくはないが、二要素認証は「未だに」というほど見かける気はしないな
Re: (スコア:0)
それではここで二要素認証サービス調査一覧を見てみましょう
https://2fa.directory/ [2fa.directory]
Re: (スコア:0)
MFAなしのサイトはクレカ取り扱い禁止ぐらいはあってもいいと思うんだよね
Re: (スコア:0)
そんなんやるぐらいなら、まずはイシュアに3D Secure 2.0の提供を義務付けてほしい。
Re: (スコア:0)
「このサイトでは課金なんてしないから適当な覚えやすい弱いパスワードでいい」
っていうユーザーの選択と利便性を奪わないでほしい
自由ってそういうことだろ
Re:やりすぎでは? (スコア:2, 参考になる)
アカウントを乗っ取られたときの被害者はユーザではなくアクセス管理者です。
そしてアクセス管理者は不正アクセス行為に対する防護措置をとる努力義務があります(不正アクセス禁止法第八条)。
現在の日本の法律ではユーザの権利じゃないんですよそれ。
Re: (スコア:0)
そもそも、大抵利用規約でアカウントの譲渡を禁止してるからユーザーは発行されたアカウントを借りてるだけなんだよね。
Re:やりすぎでは? (スコア:1)
Pixivのアカウントで同社の販売サービスであるBooth [booth.pm]にログインできますので、アカウントを盗まれると金銭的な被害が発生する可能性はありそうです。
また、アップロードした画像の権利を乗っ取った人が主張したり、乗っ取られたアカウントからspamや殺害予告出されたりしても困るので、一般論としても弱いパスワードは使わない方が良いのではないかと。
Re: (スコア:0)
それは「自由」ではない。どちらかと言えば「自分勝手」「無責任な振る舞い」と言った方がいい。あるいは飯屋の「ご自由にお取りください」の取り違えである。つまり、あなたは区別ができていないか、(自分)勝手な解釈をしている。
「このサイトを使うか使わないか」が選択できるのがユーザの自由で、サイトを使うなら利用規約を遵守する、逆を言えば、利用規約を遵守するユーザであれば運営は拒んではならない、というのが私達の社会における「自由平等」なんです。
利用規約を遵守するユーザであるなら、パスワードは安全なものをご自由に設定してください。安全な範囲で“ご自由に”、というのが、正しい解釈、責任ある行動なんですよ。
大体、無料サービスを提供する運営側への理解がそもそも欠如しているし、インターネット犯罪に巻き込まれる危険性を過小評価している。犯罪者というのは、防犯対策が手薄なところを狙っているんですよ。
後、アカウントを消すことを目的とした愉快犯(「このムカつくやつのアカウント消したい」って動機)がいることを覚えておいてほしい。
Re: (スコア:0)
> いくらブラウザ上で照合しているから安全だと言われても、
誰がそんなこと言ってるの? どう考えても平文で送信されたパスワードをサーバー側で照合してるんだけど。
Re: (スコア:0)
ああ、すみません。
HIBPのAPIは原理上ブラウザ上で照合が完結するから、そういう実装になっているものだと思い込んでました。
実際のpixivは平文のパスワードを送信させて、サーバ側でハッシュ化したHIBPのリストに照会を掛けてるようですね。
Re: (スコア:0)
ログインのたびに10GB以上あるデータをダウンロードするのはいくら何でも富豪的すぎるだろ。
Re: (スコア:0)
23KBで済みますよ?
https://api.pwnedpasswords.com/range/21BD1 [pwnedpasswords.com]
Re: (スコア:0)
ごめん、ハッシュの先頭5桁をサーバーに送っておいて「ブラウザ上で照合」と表現しているとは想像もつかなかった。ほとんど嘘なのでは