アカウント名:
パスワード:
第三者が端末にログイン出来る=暗号化したストレージに第三者がアクセス出来る前提なら、総当りに耐えられる暗号でないと意味が無い。そして128bitの鍵を作るには少なくとも20文字くらいのパスワードが必要。ほとんどのユーザーが使う8文字くらいのパスワードでは生のまま保存してるのと大差はない。
(パスワードの強さを議論せずに)マスターパスワードさえあれば端末へのアクセスを許してもいい、or 端末にアクセスされても暗号化してさえあればなんとかなる、なんて考える人が出てくるのが実際なんだから>「ユーザーに誤った安心感を与えて危険な行動を助長したくない」ってのの方が真っ当な意見だと思う。
#プライベートブラウジングは終了時に情報を削除する機能なので、次回に復号しなきゃならないパスワードの保存方法とは関係ない
その「完璧じゃないと意味がない」論法はあまり説得力がないな。総当たりをしないとアクセスできないんだから、十分意味がある。
たとえば数分間話しかけたりアクシデントを起こしたりして注意を奪うだけでいいとなれば、選択肢がずっと広がるからね。
それに、
>マスターパスワードさえあれば端末へのアクセスを許してもいい
こんな駄目ユーザがいるから意味ない、っていう論法が成立するなら、意味のあるセキュリティ対策なんてなくなってしまう。
「メモしておいたって見られなきゃ大丈夫だろ」って考える人が出てくるのが現実なんだから、パスワードはメモできる文字列であるという時点でアウト、危険な行動を助長する認証手段だ、こういう主張も可能になる。
# まぁ実際、普通のパスワードはヤバいわけだが
高頻度でPW入力を強制すると当然PWは弱くなるし、ログインされている以上生PWを盗むのと暗号化が施されたストレージを盗む時間や手間は変わらない。端末のハードウェアを短時間保護すればいいスクリーンロックとは違う完璧じゃないからダメなのではなくて、パスワード入力欄があるけど検証してませんってのと同じで、弱いパスワードとパスワード無しに差がないのに、ご利益がありそうな何かをさせる事がまずい
#ポストイットは良くないけれど、ユーザーの居室に侵入しないでも突破できるかどうかで一応差はある。あとPWが危険な場合IC認証使うでしょ
> ログインされている以上生PWを盗むのと暗号化が施されたストレージを盗む時間や手間は変わらない。目的のパスワードを知るには一瞬Chromeブラウザを操作すればOK。それとストレージを盗む手間が同じだっていうなら、まぁ味噌も糞も同じようなもんだから納得だわ。
アップロードするコマンド叩くよりもパスワード暗記したりカメラ持ちだしたりする方が時間掛かると思うんだけど
#一瞬目を離す場合のためには別にスクリーンロックという仕組みがある
お前、その辺の素人に「どっちが簡単?」って聞いてみ?他人にやらせるオプションがあるって大きいぞ。
> # 一瞬目を離す場合のためには別にスクリーンロックという仕組みがある
ああ、誤った安心感で危険が助長されている…その辺のカフェでPC使ってる時にコーヒーとかぶっかけられたら、火傷の心配の前にスクリーンロックな。完璧に気をつけろよ。
その辺のカフェでPC使ってる時にコーヒーとかぶっかけられたら、火傷の心配の前にスクリーンロックな。
やけどの心配の前にPCの心配をするので大丈夫です。# そういうことじゃない
そんな皆様のために google は google glass を鋭意開発改良中です。
準備さえしてあれば10秒もあれば外部にデータをコピーできるでしょ。データをコピーしてしまえばオフライン解析がいくらでもできるんだから、パスワードがかけてあってもそれが十分に強くなければデータが漏洩したのと同じ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
暗号化してもパスワードが弱すぎる (スコア:2)
第三者が端末にログイン出来る=暗号化したストレージに第三者がアクセス出来る前提なら、総当りに耐えられる暗号でないと意味が無い。
そして128bitの鍵を作るには少なくとも20文字くらいのパスワードが必要。ほとんどのユーザーが使う8文字くらいのパスワードでは生のまま保存してるのと大差はない。
(パスワードの強さを議論せずに)マスターパスワードさえあれば端末へのアクセスを許してもいい、or 端末にアクセスされても暗号化してさえあればなんとかなる、なんて考える人が出てくるのが実際なんだから
>「ユーザーに誤った安心感を与えて危険な行動を助長したくない」
ってのの方が真っ当な意見だと思う。
#プライベートブラウジングは終了時に情報を削除する機能なので、次回に復号しなきゃならないパスワードの保存方法とは関係ない
Re: (スコア:2, 参考になる)
その「完璧じゃないと意味がない」論法はあまり説得力がないな。
総当たりをしないとアクセスできないんだから、十分意味がある。
たとえば数分間話しかけたりアクシデントを起こしたりして
注意を奪うだけでいいとなれば、選択肢がずっと広がるからね。
それに、
>マスターパスワードさえあれば端末へのアクセスを許してもいい
こんな駄目ユーザがいるから意味ない、っていう論法が成立するなら、
意味のあるセキュリティ対策なんてなくなってしまう。
「メモしておいたって見られなきゃ大丈夫だろ」って考える人が出てくるのが現実なんだから、
パスワードはメモできる文字列であるという時点でアウト、危険な行動を助長する認証手段だ、
こういう主張も可能になる。
# まぁ実際、普通のパスワードはヤバいわけだが
Re: (スコア:2)
高頻度でPW入力を強制すると当然PWは弱くなるし、ログインされている以上生PWを盗むのと暗号化が施されたストレージを盗む時間や手間は変わらない。端末のハードウェアを短時間保護すればいいスクリーンロックとは違う
完璧じゃないからダメなのではなくて、パスワード入力欄があるけど検証してませんってのと同じで、弱いパスワードとパスワード無しに差がないのに、ご利益がありそうな何かをさせる事がまずい
#ポストイットは良くないけれど、ユーザーの居室に侵入しないでも突破できるかどうかで一応差はある。あとPWが危険な場合IC認証使うでしょ
Re:暗号化してもパスワードが弱すぎる (スコア:0)
> ログインされている以上生PWを盗むのと暗号化が施されたストレージを盗む時間や手間は変わらない。
目的のパスワードを知るには一瞬Chromeブラウザを操作すればOK。
それとストレージを盗む手間が同じだっていうなら、
まぁ味噌も糞も同じようなもんだから納得だわ。
Re:暗号化してもパスワードが弱すぎる (スコア:2)
アップロードするコマンド叩くよりもパスワード暗記したりカメラ持ちだしたりする方が時間掛かると思うんだけど
#一瞬目を離す場合のためには別にスクリーンロックという仕組みがある
Re: (スコア:0)
お前、その辺の素人に「どっちが簡単?」って聞いてみ?
他人にやらせるオプションがあるって大きいぞ。
> # 一瞬目を離す場合のためには別にスクリーンロックという仕組みがある
ああ、誤った安心感で危険が助長されている…
その辺のカフェでPC使ってる時にコーヒーとかぶっかけられたら、
火傷の心配の前にスクリーンロックな。
完璧に気をつけろよ。
Re: (スコア:0)
やけどの心配の前にPCの心配をするので大丈夫です。
# そういうことじゃない
Re: (スコア:0)
そんな皆様のために google は google glass を鋭意開発改良中です。
Re: (スコア:0)
準備さえしてあれば10秒もあれば外部にデータをコピーできるでしょ。データをコピーしてしまえばオフライン解析がいくらでもできるんだから、パスワードがかけてあってもそれが十分に強くなければデータが漏洩したのと同じ。