アカウント名:
パスワード:
もう、いっそのこと公開鍵認証に移行するとか、は難しいんだろうなぁ。例えば、どこかが認証サービスを行って、他のサイトは Twitter の OAuth みたいなかたちで認証するみたいな。
OpenIDみたいなシステムで同じユーザーIDとメールアドレスとパスワードを使い回す理由がわからん覚えることが1つで便利だろうけど、1つ流失したら全部おしまい
逆に、同じパスワード入力したらブラウザがサイト毎に、個別のパスワードを自動生成、送信してくれる規格とか出来ればいいと思う。元パスワードが同じなら、同じサイトには必ず同じパスワードが生成されて、元パスワードの逆算は不可で。各サイトは生成されたパスワードしかわからないから、漏れても被害がそのサイトのみに限定される。
ワイタイムならぬ、ワンサイトパスワー
それだと結局パスワード管理ツールを入れる方がいいな。サイトとパスワードを関連させてしまうのは脆弱性になるので、パスワード管理ツールでパスワードをランダムに生成させて、親パスワードで一括管理した方が手間は同じでより安全。
> サイトとパスワードを関連させてしまうのは脆弱性になるので、
そもそもパスワードを分けてる人は、今のままで問題無い。パスワードを分けろと言っても聞かない人の場合の話です。
"同じパスワード"というのは最悪の場合の話で、実際は違うパスワード使います。動作のイメージは、メールのAPOPが一番近いかな。(ハッシュに使う値はサーバ毎に固定。認証時だけでなく、パスワード登録時も同様にハッシュ値のみ送るのが異なる)
規格化できてブラウザが対応すれば、ユーザの手間は0。パスワード管理ツールとはレイヤーが違うので併用も可能。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
ID / パスワードでの認証に限界が (スコア:1)
もう、いっそのこと公開鍵認証に移行するとか、は難しいんだろうなぁ。
例えば、どこかが認証サービスを行って、他のサイトは Twitter の OAuth みたいなかたちで認証するみたいな。
Re: (スコア:1)
OpenIDみたいなシステムで同じユーザーIDとメールアドレスとパスワードを使い回す理由がわからん
覚えることが1つで便利だろうけど、1つ流失したら全部おしまい
Re: (スコア:2)
逆に、同じパスワード入力したら
ブラウザがサイト毎に、個別のパスワードを
自動生成、送信してくれる規格とか出来ればいいと思う。
元パスワードが同じなら、同じサイトには
必ず同じパスワードが生成されて、
元パスワードの逆算は不可で。
各サイトは生成されたパスワードしかわからないから、
漏れても被害がそのサイトのみに限定される。
ワイタイムならぬ、ワンサイトパスワー
Re:ID / パスワードでの認証に限界が (スコア:0)
それだと結局パスワード管理ツールを入れる方がいいな。
サイトとパスワードを関連させてしまうのは脆弱性になるので、
パスワード管理ツールでパスワードをランダムに生成させて、
親パスワードで一括管理した方が手間は同じでより安全。
Re:ID / パスワードでの認証に限界が (スコア:1)
> サイトとパスワードを関連させてしまうのは脆弱性になるので、
そもそもパスワードを分けてる人は、今のままで問題無い。
パスワードを分けろと言っても聞かない人の場合の話です。
"同じパスワード"というのは最悪の場合の話で、実際は違うパスワード使います。
動作のイメージは、メールのAPOPが一番近いかな。
(ハッシュに使う値はサーバ毎に固定。
認証時だけでなく、パスワード登録時も同様にハッシュ値のみ送るのが異なる)
規格化できてブラウザが対応すれば、ユーザの手間は0。
パスワード管理ツールとはレイヤーが違うので併用も可能。