アカウント名:
パスワード:
パスワードを保管しているファイルが盗まれなければ。
たとえば、どこかの企業が物凄くセキュリティレベルが低くて、そこに侵入したらユーザー名とパスワードの一覧表を盗むことができた、としましょう。ただし、パスワードはハッシュ化されているので、そのままでは使えません。
今回の実験から、GPUを使うとこのファイルからパスワードを推測することが可能だ、ということが判ります。もし、同じユーザーが別の所でも同じユーザー名とパスワードを使っていたら、きっと侵入できるでしょう。そのテストを行うのには、1サイト1ユーザー名あたり1回のテストで済みます。
100万人のユーザー情報があって、10%が同じパスワードを違う場所でも使っているとするなら、10万人分の情報が手に入ったわけです。
ユーザーのこういう間抜けな行動も厳しく責めるべきではないでしょうか。
1) どうやって、「ユーザーが間抜けな行動をとっているかどうか」を確認するか?
2) ただでさえ、たくさんのパスワード設定/変更が嫌で「シングル・サイン・オン」を求めているユーザーにそのようなポリシーをお願いすることが可能か?
3) 仮に押し付けることができたとすると、ユーザーは簡単にあちらこちらの都合が良いサービスを選択・組み合わせる事がしにくくなりますよね? それってITビジネスに参入障壁を設けているだけにならない??
4) 現実問題としては、ユーザー名とパスワードをどこか1箇所で盗まれた場合、自分の使っているITサービスの他のものにも問題が波及する、というリスクはユーザーが被ってるんだから、文句を言われる筋合いはない、という反論にどう対処するか? (公害問題とかと同じ種類の問題になります)
とパッと考えても4つ問題が出ますね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
総当たりチェックなど・・・・ (スコア:3, 興味深い)
パスワードの総当たりなど、3回試行して失敗したら30分ロックアウトするだけで、この手の物は簡単に防げるという認識は甘いでしょうか。
Re: (スコア:4, 興味深い)
パスワードを保管しているファイルが盗まれなければ。
たとえば、どこかの企業が物凄くセキュリティレベルが低くて、そこに侵入したらユーザー名とパスワードの一覧表を盗むことができた、としましょう。ただし、パスワードはハッシュ化されているので、そのままでは使えません。
今回の実験から、GPUを使うとこのファイルからパスワードを推測することが可能だ、ということが判ります。もし、同じユーザーが別の所でも同じユーザー名とパスワードを使っていたら、きっと侵入できるでしょう。そのテストを行うのには、1サイト1ユーザー名あたり1回のテストで済みます。
100万人のユーザー情報があって、10%が同じパスワードを違う場所でも使っているとするなら、10万人分の情報が手に入ったわけです。
fjの教祖様
Re: (スコア:0)
企業にちゃんとしたセキュリティを望むのと同様に
ユーザーのこういう間抜けな行動も厳しく責めるべきではないでしょうか。
Re:総当たりチェックなど・・・・ (スコア:5, 興味深い)
1) どうやって、「ユーザーが間抜けな行動をとっているかどうか」を確認するか?
2) ただでさえ、たくさんのパスワード設定/変更が嫌で「シングル・サイン・オン」を求めているユーザーにそのようなポリシーをお願いすることが可能か?
3) 仮に押し付けることができたとすると、ユーザーは簡単にあちらこちらの都合が良いサービスを選択・組み合わせる事がしにくくなりますよね? それってITビジネスに参入障壁を設けているだけにならない??
4) 現実問題としては、ユーザー名とパスワードをどこか1箇所で盗まれた場合、自分の使っているITサービスの他のものにも問題が波及する、というリスクはユーザーが被ってるんだから、文句を言われる筋合いはない、という反論にどう対処するか? (公害問題とかと同じ種類の問題になります)
とパッと考えても4つ問題が出ますね。
fjの教祖様
Re: (スコア:0)
提供側はユーザーが間抜けな行動をすると思ってシステムを構築する。
ユーザー側も相手が間抜けな行動をすると思って自衛するべきだということです。
分かっててアカウントとパスワードを統一してるなら
ユーザーの自己責任でいいんじゃないでしょうか。