アカウント名:
パスワード:
せっかくセキュリティ的に有効なCAPTCHAをやぶるような技術を開発するなよ!
なんて言う人もいるんだろうけど、すべてはイタチゴッコで、それで進化していってるんだよな。次に何が来るのかわからないけど。生体認証をうまく使うようになるのか。生体は変更がきかない分、慎重に実装しないといけないけど。
「生体情報+マスターパスワード+サービスごとのキー」でハッシュしたものをアプリやサービスに渡せば良い気も。もしやばくなったらマスターパスワードを変更すれば良い。もちろん、すべての登録済みのパスワードが無効になるが、古いパスワードを生成することも可能だから、面倒でも変更作業をすれば・・・
「生体情報+マスターパスワード+サービスごとのキー」でハッシュしたものをアプリやサービスに渡せば良い気も。
よくわからないけど、サーバー側で生体情報が毎回異なることを確認できなかったら、一つの生体情報を使い回すことで機械的にいくらでもアカウント作り放題だと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
次の対抗策は? (スコア:0)
せっかくセキュリティ的に有効なCAPTCHAをやぶるような技術を開発するなよ!
なんて言う人もいるんだろうけど、すべてはイタチゴッコで、それで進化していってるんだよな。
次に何が来るのかわからないけど。
生体認証をうまく使うようになるのか。生体は変更がきかない分、慎重に実装しないといけないけど。
「生体情報+マスターパスワード+サービスごとのキー」でハッシュしたものをアプリやサービスに渡せば良い気も。
もしやばくなったらマスターパスワードを変更すれば良い。もちろん、すべての登録済みのパスワードが無効になるが、古いパスワードを生成することも可能だから、面倒でも変更作業をすれば・・・
Re:次の対抗策は? (スコア:2)
よくわからないけど、サーバー側で生体情報が毎回異なることを確認できなかったら、一つの生体情報を使い回すことで機械的にいくらでもアカウント作り放題だと思う。