アカウント名:
パスワード:
利用者の不安は解消されないなぁ。たとえば、Googleには100文字のランダム文字列を使ってるけど、粘着に標的にされたら破られるでしょう。各サイトには、ログイン履歴(少なくとも過去数回の日時とIPくらいは)の閲覧サービスは提供してほしいと思う。
でもさ、キーロガーしこまれたPCからログインするはめになったり、フィッシングサイトにひっかかったりする可能性も0じゃないしね。一瞬で抜かれるかも。
盗まれても簡単に使えないようにできればいいと思うんだよね。他の認証機構を使おうとしても、設備が普及してないせいでなかなか使えないけど、普通のパスワードの仕組みでも、たとえばIPなど接続情報と組み合わせて認証を通すってのは、ときどき見かけるよね。ソニー銀行とかその系統かな。接続端末が制限されることになるけど、そんなにデバイス所有してないしね。Googleも、ちょっと系統違うけど、携帯経由で発番された情報と組み合わせるとかやっているね。こっちはちょっと面倒だけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
いくら複雑にしても (スコア:0)
利用者の不安は解消されないなぁ。
たとえば、Googleには100文字のランダム文字列を使ってるけど、粘着に標的にされたら破られるでしょう。
各サイトには、ログイン履歴(少なくとも過去数回の日時とIPくらいは)の閲覧サービスは提供してほしいと思う。
Re: (スコア:1)
たとえアルファベット小文字だけでも、26 ^ 100 ≒ 3.1 x 10^141 程度。 世界中にコンピュータを配置して1秒に100000000回ログインを試行できると仮定しても、すべての空間を試すのに 100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000年以上粘着する必要があります。
実際には記号数字も加えて更に文字が増えますし、あまりに頻繁にログインを試行するとしばらくロックされるでしょう。
Re: (スコア:0)
でもさ、キーロガーしこまれたPCからログインするはめになったり、フィッシングサイトにひっかかったりする可能性も0じゃないしね。
一瞬で抜かれるかも。
Re: (スコア:1)
でもルパン三世なら指紋を写しとった手袋で指紋認証システム突破するしなw
Re:いくら複雑にしても (スコア:0)
盗まれても簡単に使えないようにできればいいと思うんだよね。
他の認証機構を使おうとしても、設備が普及してないせいでなかなか使えないけど、普通のパスワードの仕組みでも、たとえばIPなど接続情報と組み合わせて認証を通すってのは、ときどき見かけるよね。
ソニー銀行とかその系統かな。接続端末が制限されることになるけど、そんなにデバイス所有してないしね。
Googleも、ちょっと系統違うけど、携帯経由で発番された情報と組み合わせるとかやっているね。こっちはちょっと面倒だけど。
Re:いくら複雑にしても (スコア:1)
ソニー銀行のシステムを調べてみた。ログインする前に端末というかブラウザを登録するんだけど、 その時にパスワードとは別に、9文字以内のひらがなかカタカナで事前に登録しておいた質問の「答え」を 入力するんだね。当然「答え」は単語1個だろうから辞書攻撃に弱いし、攻撃者が身近な人間なら答えを推測できる可能性が高い。 「答え」がセキュリティとしてどのくらいの強度を持っているか客観的に評価できないので、これをセキュリティとして採用すべきではない。「秘密の質問」はよくあるシステムだけど愚策だね。
参考: http://security.srad.jp/story/11/01/18/0828241/ [srad.jp]
Google の登録時に携帯を使わせるのは CAPTCHA の一種じゃなかったかな?