アカウント名:
パスワード:
あっちこっち違うものを覚えないといけないのは、そろそろ限界。
コストを度外視していいなら、「あるサイト」に関してどうにかすることは可能です。RSAだとSecurIDとか。時刻と連動して変化する番号を知りうるのは、特定のデバイスを持っているひとだけだ、という発想ですね。
でも、そうなるとあっちこっちでそれぞれ SecurID を持たなくてはいけません(同じ SecurID だと、一箇所破られただけで SecurID を交換しなくちゃいけなくなる)。そうすると、どの SecurID はどのサイトのものなのか、と言う問題と、その SecurID をジャラジャラ持ち歩かなくてはならず、今度は 落としてしまう危険性が…
SSLに使う暗号の強度は今のところ大丈夫なんだっけ?
やるならちゃんとした証明書でガッチリ守った方がいいでしょうね。一覧できるだけなら暗号化だけで一定の効果はあるけれど、一覧の更新機能までつけるとしたら、オレオレ証明書だと偽サイトに誘導されて新パスワードをかすめ取られるおそれがある。# そこまでスピアーな偽サイト作るやつもそういないだろうけど。
> # そこまでスピアーな偽サイト作るやつもそういないだろうけど。
立場によってはそうとも言えない、ってのがGmail v.s.中国の教訓じゃなかったっけ?別に自分が重要人物じゃなかったとしても、重要な情報を取り扱う可能性はあるわけで…
元コメです。やるならサーバにもクライアントにも認証が欲しいですね。その上にBasicなりDigestなりHTTP認証を足せばだいぶ安全かと思います。
ただ、やってること的には「パスワードの一元化」と「隠すことによるセキュアアルゴリズム」なのでこの自作システムを実際に使うかというと怖いですね。(ウィルスなどでローカルをぶっこ抜かれたら一網打尽ですし)
手軽かつ確実な端末認証と耐タンパー性の高いストレージをクラウド越しに直結したいという思考実験です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
パスワード以外の認証方法を早く (スコア:0)
あっちこっち違うものを覚えないといけないのは、そろそろ限界。
Re:パスワード以外の認証方法を早く (スコア:1)
コストを度外視していいなら、「あるサイト」に関してどうにかすることは可能です。RSAだとSecurIDとか。時刻と連動して変化する番号を知りうるのは、特定のデバイスを持っているひとだけだ、という発想ですね。
でも、そうなるとあっちこっちでそれぞれ SecurID を持たなくてはいけません(同じ SecurID だと、一箇所破られただけで SecurID を交換しなくちゃいけなくなる)。そうすると、どの SecurID はどのサイトのものなのか、と言う問題と、その SecurID をジャラジャラ持ち歩かなくてはならず、今度は 落としてしまう危険性が…
fjの教祖様
Re: (スコア:0)
Re: (スコア:0)
SSLに使う暗号の強度は今のところ大丈夫なんだっけ?
Re: (スコア:0)
やるならちゃんとした証明書でガッチリ守った方がいいでしょうね。
一覧できるだけなら暗号化だけで一定の効果はあるけれど、一覧の
更新機能までつけるとしたら、オレオレ証明書だと偽サイトに誘導
されて新パスワードをかすめ取られるおそれがある。
# そこまでスピアーな偽サイト作るやつもそういないだろうけど。
Re: (スコア:0)
> # そこまでスピアーな偽サイト作るやつもそういないだろうけど。
立場によってはそうとも言えない、ってのがGmail v.s.中国の教訓じゃなかったっけ?別に自分が重要人物じゃなかったとしても、重要な情報を取り扱う可能性はあるわけで…
Re: (スコア:0)
元コメです。やるならサーバにもクライアントにも認証が欲しいですね。
その上にBasicなりDigestなりHTTP認証を足せばだいぶ安全かと思います。
ただ、やってること的には
「パスワードの一元化」と
「隠すことによるセキュアアルゴリズム」なので
この自作システムを実際に使うかというと怖いですね。
(ウィルスなどでローカルをぶっこ抜かれたら一網打尽ですし)
手軽かつ確実な端末認証と
耐タンパー性の高いストレージを
クラウド越しに直結したいという思考実験です。