アカウント名:
パスワード:
最近のMicrosoftのパスワード入力欄って黒電話みたいな目玉マークが付いてて、そこを押してる間は全部表示されるようになってますよね。同じでは。
パスワードを(入力時に)マスクしなければならないセキュリティリスクって、CUI 時代の echo から来ているんじゃないかと勝手に思っています。これだと、入力した文字をマスクしないとスクロールで判明してしまうから問題なんでしょうけど、GUI 時代だとパスワードをマスクするのって弊害しか思いつかないのですよね。
入力文字をマスクしなくなれば漢字をパスワードに使うのも容易になるし、便利だと思うんですけどね。
#関係無いけどパスワードを貼り付けさせないウェブサイトは滅びれば良いと思う。
そもそもパスワードというのは、覚えているもので、データとして保存しているなんて用をなしてない——って考えなんでしょうね。自分もパスワード管理ソフト使っているので、気持ちはよくわかります。
マスクは後ろから覗かれるの防止ですね。目玉マークは最後の一文字が表示されてる時間があると入力中ずっと見ればわかるというのへの対策で、たぶん周囲を確認してから押すっていうアイディア。
ちゃんとフィードバックしてる?
スクショを収集するウイルス/クラックもあるので、一概に弊害しかないと言うのは言い過ぎでは?個人的には表示、非表示切り替えられるのが一番だと思う。
ウイルスが入り込んでいる前提ならキーロガーも入ってますねwマスクの必要性の議論を乗っ取られている環境ですべきでは無いでしょう
パス抜くんだったらキーロガーで取ったデータからフィルタするより、パスが丸見えになってるスクショの方がやりやすいよね、って話は置いておいて、
乗っ取られる”可能性”もある環境での話だし、ソーシャルハッキングなんて手もありますからね。議論するに十分値するケースだと思いますよ。
パス抜くんだったらキーロガーで取ったデータからフィルタするより、 パスが丸見えになってるスクショの方がやりやすいよね、って話は置いておいて、
そうかなあ。スクリーンショットを撮って送るウイルスがあったとして、まさかウイルスの作者が 1 個 1 個スクリーンショットを目で見てパスワードを抽出するわけじゃないだろうから、「丸見え」と言われてもピンとこない。画像ファイルからパスワード入力欄っぽい部分を見つけて OCR で文字に変換するのが、キーロガーのデータからパスワードを抽出するより簡単とは思えない。
隣の PC が乗っ取られてカメラが起動されるというシナリオを思いついたんだが。
これからの時代、ネットワークを切り離しただけで安心していてはダメだな。
隣は流石に無理があるかもしれないですが、後ろの列に座ってる人の画面は採取出来るかもしれないですしね。
○ ○ ○ ○■■■■■■■■■■■■■■ ○ ○ ○ ○
こんな感じの事務所で。
あんた、何言ってるんだ?必ずセットで入るもんでもなかろうに
同意
ショルダーハック対策=ローカルでのソーシャル犯罪スクショ・キーロガー等のトロイ系ウイルス対策=リモートからのサイバー犯罪
前者にマスクが有効かどうかはおいておいて後者にも有効というのは副作用に期待しすぎというか有効性なんか無い
ウイルス対策ソフトとかプロクシ認証、ファイアウォール監視とか直接効果ある対策で済みます
対策の選択肢は多いほどいいとか思って他人の否定をしない人間は有害いまだにSQLインジェクション対策にサニタイズとかいう記述を万全ではないとしつつ残すとかね…もう間違いってはっきり書いていいと思う
その理屈だとフィードバックしちゃダメでしょ。マスク返したら字数がバレちゃいますよ。
???
意味がわかんないんだけど
ここでいう「フィードバック」はサーバーがエコーを返すこと
昔のLotus Notesみたいに入力文字と一致しない文字数のマスク文字を返せば
#今のは知らない
今もそう入力する度にヒエログリフみたいな絵が出てくるのも
あの絵でパスワード推測できるんですよね
選択もなしでパスワード全開にするFedoraとは逆でしょう
Webサービスにもさいきんはチェックボックスでマスク有無を切り替えられるのがちらほら見られますね。さすがに今回みたいな全開放は少ないでしょうけど。(多少ガラケーサービスにあるもは知ってる)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
Windows 8もそんな感じでは (スコア:5, 参考になる)
最近のMicrosoftのパスワード入力欄って黒電話みたいな目玉マークが付いてて、そこを押してる間は全部表示されるようになってますよね。同じでは。
Re:Windows 8もそんな感じでは (スコア:4, 興味深い)
パスワードを(入力時に)マスクしなければならないセキュリティリスクって、CUI 時代の echo から来ているんじゃないかと勝手に思っています。
これだと、入力した文字をマスクしないとスクロールで判明してしまうから問題なんでしょうけど、GUI 時代だとパスワードをマスクするのって弊害しか思いつかないのですよね。
入力文字をマスクしなくなれば漢字をパスワードに使うのも容易になるし、便利だと思うんですけどね。
#関係無いけどパスワードを貼り付けさせないウェブサイトは滅びれば良いと思う。
Re:Windows 8もそんな感じでは (スコア:3, すばらしい洞察)
ホント、滅びるべき。
パスワードを覚えていないで管理ツールを使って管理しているんだけど、管理ツールからうまい具合に入力させられない場合貼り付けることになる。そこで貼り付けられないようになっていると、長くて難しい文字列をキーボード入力しなきゃならなくなる。そのサイトを使いたくなくなるレベルだな。
貼り付けを禁止するとセキュリティが向上する場合があるんだろうか?
Re: (スコア:0)
そもそもパスワードというのは、覚えているもので、データとして保存しているなんて用をなしてない
——って考えなんでしょうね。
自分もパスワード管理ソフト使っているので、気持ちはよくわかります。
Re:Windows 8もそんな感じでは (スコア:2)
マスクは後ろから覗かれるの防止ですね。目玉マークは最後の一文字が表示されてる時間があると入力中ずっと見ればわかるというのへの対策で、たぶん周囲を確認してから押すっていうアイディア。
Re:Windows 8もそんな感じでは (スコア:1)
それだとIMEがパスワードを覚えてしまったりして困るんですよねぇ。
Androidの出来の悪いアプリだと、パスワードフィールドでもIMEがONになってたりしてイライラします。
Re: (スコア:0)
ちゃんとフィードバックしてる?
Re:Windows 8もそんな感じでは (スコア:1, 興味深い)
スクショを収集するウイルス/クラックもあるので、一概に弊害しかないと言うのは言い過ぎでは?
個人的には表示、非表示切り替えられるのが一番だと思う。
Re:Windows 8もそんな感じでは (スコア:3, すばらしい洞察)
ウイルスが入り込んでいる前提ならキーロガーも入ってますねw
マスクの必要性の議論を乗っ取られている環境ですべきでは無いでしょう
Re: (スコア:0)
パス抜くんだったらキーロガーで取ったデータからフィルタするより、
パスが丸見えになってるスクショの方がやりやすいよね、って話は置いておいて、
ウイルスが入り込んでいる前提ならキーロガーも入ってますねw
マスクの必要性の議論を乗っ取られている環境ですべきでは無いでしょう
乗っ取られる”可能性”もある環境での話だし、ソーシャルハッキングなんて手もありますからね。
議論するに十分値するケースだと思いますよ。
Re:Windows 8もそんな感じでは (スコア:3)
そうかなあ。スクリーンショットを撮って送るウイルスがあったとして、まさかウイルスの作者が 1 個 1 個スクリーンショットを目で見てパスワードを抽出するわけじゃないだろうから、「丸見え」と言われてもピンとこない。画像ファイルからパスワード入力欄っぽい部分を見つけて OCR で文字に変換するのが、キーロガーのデータからパスワードを抽出するより簡単とは思えない。
Re: (スコア:0)
隣の PC が乗っ取られてカメラが起動されるというシナリオを思いついたんだが。
これからの時代、ネットワークを切り離しただけで安心していてはダメだな。
Re:Windows 8もそんな感じでは (スコア:2)
隣は流石に無理があるかもしれないですが、後ろの列に座ってる人の
画面は採取出来るかもしれないですしね。
○ ○ ○ ○
■■■■■■■
■■■■■■■
○ ○ ○ ○
○ ○ ○ ○
■■■■■■■
■■■■■■■
○ ○ ○ ○
こんな感じの事務所で。
Re: (スコア:0)
あんた、何言ってるんだ?
必ずセットで入るもんでもなかろうに
Re: (スコア:0)
同意
ショルダーハック対策=ローカルでのソーシャル犯罪
スクショ・キーロガー等のトロイ系ウイルス対策=リモートからのサイバー犯罪
前者にマスクが有効かどうかはおいておいて
後者にも有効というのは副作用に期待しすぎというか有効性なんか無い
ウイルス対策ソフトとかプロクシ認証、ファイアウォール監視とか
直接効果ある対策で済みます
対策の選択肢は多いほどいいとか思って他人の否定をしない人間は有害
いまだにSQLインジェクション対策にサニタイズとかいう記述を
万全ではないとしつつ残すとかね…もう間違いってはっきり書いていいと思う
Re: (スコア:0)
その理屈だとフィードバックしちゃダメでしょ。
マスク返したら字数がバレちゃいますよ。
Re: (スコア:0)
???
意味がわかんないんだけど
Re: (スコア:0)
ここでいう「フィードバック」はサーバーがエコーを返すこと
Re: (スコア:0)
昔のLotus Notesみたいに入力文字と一致しない文字数のマスク文字を返せば
#今のは知らない
Re:Windows 8もそんな感じでは (スコア:1)
今もそう
入力する度にヒエログリフみたいな絵が出てくるのも
Re: (スコア:0)
あの絵でパスワード推測できるんですよね
Re:Windows 8もそんな感じでは (スコア:2, すばらしい洞察)
選択もなしでパスワード全開にするFedoraとは
逆でしょう
Re: (スコア:0)
Webサービスにもさいきんはチェックボックスでマスク有無を切り替えられるのがちらほら見られますね。
さすがに今回みたいな全開放は少ないでしょうけど。
(多少ガラケーサービスにあるもは知ってる)