アカウント名:
パスワード:
こういう問題が起こるとすぐ「ID使い回す奴が悪い」って意見が出るけど、それは匿名文化に浸りきったネットジャンキーの発想であって、一般人が本名ベースのID使っちゃうのはどうしようもない。で、いくら自サイトで対策打っても、漏洩したリストのほうに平文でパスワードが載ってたらこれまたどうしようもない。これはもう、ユーザーが選んだIDの他に、サイト側から強制的にもうひとつユーザーが自由選択不可なID的なものを割り付けるしかないね。3桁程度でもリスト攻撃には十分対処できるはず。
ネットリテラシー教育が行われてないからだな
「ID使い回す奴が悪い」
IDを使いまわす奴が悪い、なんて誰も言ってないでしょ。そもそもメールアドレスをそのままIDとして使うサイトも珍しくない。
うん、使いまわすと悪いのはパスワードであって断固としてIDではない。つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。
そんな面倒なことをする必要はなく、たぶん一番確実で手っ取り早いのは、キーチェーン的なソフトがブラウザ or OSに標準搭載されて、各サイトがそれでログインできるようになること。そうすれば、PCがクラックされない限り全サイトがリスト型攻撃に安全になる。欠点はPCがクラックされると、全サイトが同時に攻略されること…まあ今だってロガーとか仕込まれたらそうなんだけど。
キーチェーン的なソフトがブラウザ or OSに標準搭載されて、
今時標準搭載されてない環境があるだろうか?って思ったけどスマホがそうなんだっけ。あと、欲しいのは標準でのパスワード生成機能な気がする。
それと、今回のも第三者サイトからの流出なのだろうか。メールアドレスのリストを使ったリバースブルートフォースアタックの可能性とか、ロガーなどマルウェアにより収集されたリストが流通してる可能性とか。
Windows 環境に Mac OS X の Keychain 的なソフトって標準搭載されていましたっけ?
Web については、Firefox でなんとかなりますが。
サーセン、自動でサイトごとに別々のパスワード生成してアカウント登録→ログインまでしてくれる機能ね。と書いてから思ったけど、それって最近流行りのTwitterやらFacebookやら使ったOAuth認証でいい気がしてきた。
よし、それじゃあ複数サイトで同じパスワードを付けられないようにパスワード横断管理システムみたいなのを作ろう
サイトAでパスワード「hoge」を設定→メアドとパスワードのハッシュを裏でパスワード横断管理システムに登録サイトBでパスワード「hoge」を設定→パスワード横断管理システムに同じのがあるから不可みたいな
#そしてそこが流出するというオチ
つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。
この笑い話のオチは、メインパスワードと補助パスワードのペアが全サイト共通というので良いの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
ID、パスワードとあとひとつ… (スコア:1)
こういう問題が起こるとすぐ「ID使い回す奴が悪い」って意見が出るけど、それは匿名文化に浸りきったネットジャンキーの発想であって、一般人が本名ベースのID使っちゃうのはどうしようもない。
で、いくら自サイトで対策打っても、漏洩したリストのほうに平文でパスワードが載ってたらこれまたどうしようもない。
これはもう、ユーザーが選んだIDの他に、サイト側から強制的にもうひとつユーザーが自由選択不可なID的なものを割り付けるしかないね。3桁程度でもリスト攻撃には十分対処できるはず。
Re: (スコア:0)
ネットリテラシー教育が行われてないからだな
Re: (スコア:0)
「ID使い回す奴が悪い」
IDを使いまわす奴が悪い、なんて誰も言ってないでしょ。
そもそもメールアドレスをそのままIDとして使うサイトも珍しくない。
Re: (スコア:0)
うん、使いまわすと悪いのはパスワードであって断固としてIDではない。
つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。
そんな面倒なことをする必要はなく、たぶん一番確実で手っ取り早いのは、キーチェーン的なソフトがブラウザ or OSに標準搭載されて、各サイトがそれでログインできるようになること。
そうすれば、PCがクラックされない限り全サイトがリスト型攻撃に安全になる。
欠点はPCがクラックされると、全サイトが同時に攻略されること…まあ今だってロガーとか仕込まれたらそうなんだけど。
Re:ID、パスワードとあとひとつ… (スコア:1)
キーチェーン的なソフトがブラウザ or OSに標準搭載されて、
今時標準搭載されてない環境があるだろうか?
って思ったけどスマホがそうなんだっけ。
あと、欲しいのは標準でのパスワード生成機能な気がする。
それと、今回のも第三者サイトからの流出なのだろうか。
メールアドレスのリストを使ったリバースブルートフォースアタックの可能性とか、ロガーなどマルウェアにより収集されたリストが流通してる可能性とか。
Re:ID、パスワードとあとひとつ… (スコア:2)
Windows 環境に Mac OS X の Keychain 的なソフトって標準搭載されていましたっけ?
Web については、Firefox でなんとかなりますが。
Re: (スコア:0)
サーセン、自動でサイトごとに別々のパスワード生成してアカウント登録→ログインまでしてくれる機能ね。
と書いてから思ったけど、それって最近流行りのTwitterやらFacebookやら使ったOAuth認証でいい気がしてきた。
Re: (スコア:0)
よし、それじゃあ複数サイトで同じパスワードを付けられないように
パスワード横断管理システムみたいなのを作ろう
サイトAでパスワード「hoge」を設定→メアドとパスワードのハッシュを裏でパスワード横断管理システムに登録
サイトBでパスワード「hoge」を設定→パスワード横断管理システムに同じのがあるから不可
みたいな
#そしてそこが流出するというオチ
Re: (スコア:0)
つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。
この笑い話のオチは、メインパスワードと補助パスワードのペアが全サイト共通というので良いの?