パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ソニーポイントサービスに不正ログイン発生」記事へのコメント

  • by Anonymous Coward on 2014年05月03日 11時43分 (#2593642)

    こういう問題が起こるとすぐ「ID使い回す奴が悪い」って意見が出るけど、それは匿名文化に浸りきったネットジャンキーの発想であって、一般人が本名ベースのID使っちゃうのはどうしようもない。
    で、いくら自サイトで対策打っても、漏洩したリストのほうに平文でパスワードが載ってたらこれまたどうしようもない。
    これはもう、ユーザーが選んだIDの他に、サイト側から強制的にもうひとつユーザーが自由選択不可なID的なものを割り付けるしかないね。3桁程度でもリスト攻撃には十分対処できるはず。

    • by Anonymous Coward

      ネットリテラシー教育が行われてないからだな

    • by Anonymous Coward

      「ID使い回す奴が悪い」

      IDを使いまわす奴が悪い、なんて誰も言ってないでしょ。
      そもそもメールアドレスをそのままIDとして使うサイトも珍しくない。

      • by Anonymous Coward

        うん、使いまわすと悪いのはパスワードであって断固としてIDではない。
        つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。

        そんな面倒なことをする必要はなく、たぶん一番確実で手っ取り早いのは、キーチェーン的なソフトがブラウザ or OSに標準搭載されて、各サイトがそれでログインできるようになること。
        そうすれば、PCがクラックされない限り全サイトがリスト型攻撃に安全になる。
        欠点はPCがクラックされると、全サイトが同時に攻略されること…まあ今だってロガーとか仕込まれたらそうなんだけど。

        • by Anonymous Coward on 2014年05月03日 14時17分 (#2593703)

          キーチェーン的なソフトがブラウザ or OSに標準搭載されて、

          今時標準搭載されてない環境があるだろうか?
          って思ったけどスマホがそうなんだっけ。
          あと、欲しいのは標準でのパスワード生成機能な気がする。

          それと、今回のも第三者サイトからの流出なのだろうか。
          メールアドレスのリストを使ったリバースブルートフォースアタックの可能性とか、ロガーなどマルウェアにより収集されたリストが流通してる可能性とか。

          親コメント
          • Windows 環境に Mac OS X の Keychain 的なソフトって標準搭載されていましたっけ?

            • ディスク上にはマスターパスワードで暗号化されて保存される。マスターパスワードは OS の認証機能と連動している
            • フォルダのコピーなどで簡単にバックアップ可能
            • アプリケーションからアクセスする API が確立されている
            • パスワードだけでなく、(クライアント)SSL 証明書なども管理できる

            Web については、Firefox でなんとかなりますが。

            親コメント
          • by Anonymous Coward

            サーセン、自動でサイトごとに別々のパスワード生成してアカウント登録→ログインまでしてくれる機能ね。
            と書いてから思ったけど、それって最近流行りのTwitterやらFacebookやら使ったOAuth認証でいい気がしてきた。

        • by Anonymous Coward

          よし、それじゃあ複数サイトで同じパスワードを付けられないように
          パスワード横断管理システムみたいなのを作ろう

          サイトAでパスワード「hoge」を設定→メアドとパスワードのハッシュを裏でパスワード横断管理システムに登録
          サイトBでパスワード「hoge」を設定→パスワード横断管理システムに同じのがあるから不可
          みたいな

          #そしてそこが流出するというオチ

        • by Anonymous Coward

          つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。

          この笑い話のオチは、メインパスワードと補助パスワードのペアが全サイト共通というので良いの?

身近な人の偉大さは半減する -- あるアレゲ人

処理中...