アカウント名:
パスワード:
こういう問題が起こるとすぐ「ID使い回す奴が悪い」って意見が出るけど、それは匿名文化に浸りきったネットジャンキーの発想であって、一般人が本名ベースのID使っちゃうのはどうしようもない。で、いくら自サイトで対策打っても、漏洩したリストのほうに平文でパスワードが載ってたらこれまたどうしようもない。これはもう、ユーザーが選んだIDの他に、サイト側から強制的にもうひとつユーザーが自由選択不可なID的なものを割り付けるしかないね。3桁程度でもリスト攻撃には十分対処できるはず。
「ID使い回す奴が悪い」
IDを使いまわす奴が悪い、なんて誰も言ってないでしょ。そもそもメールアドレスをそのままIDとして使うサイトも珍しくない。
うん、使いまわすと悪いのはパスワードであって断固としてIDではない。つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。
そんな面倒なことをする必要はなく、たぶん一番確実で手っ取り早いのは、キーチェーン的なソフトがブラウザ or OSに標準搭載されて、各サイトがそれでログインできるようになること。そうすれば、PCがクラックされない限り全サイトがリスト型攻撃に安全になる。欠点はPCがクラックされると、全サイトが同時に攻略されること…まあ今だってロガーとか仕込まれたらそうなんだけど。
つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。
この笑い話のオチは、メインパスワードと補助パスワードのペアが全サイト共通というので良いの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
ID、パスワードとあとひとつ… (スコア:1)
こういう問題が起こるとすぐ「ID使い回す奴が悪い」って意見が出るけど、それは匿名文化に浸りきったネットジャンキーの発想であって、一般人が本名ベースのID使っちゃうのはどうしようもない。
で、いくら自サイトで対策打っても、漏洩したリストのほうに平文でパスワードが載ってたらこれまたどうしようもない。
これはもう、ユーザーが選んだIDの他に、サイト側から強制的にもうひとつユーザーが自由選択不可なID的なものを割り付けるしかないね。3桁程度でもリスト攻撃には十分対処できるはず。
Re: (スコア:0)
「ID使い回す奴が悪い」
IDを使いまわす奴が悪い、なんて誰も言ってないでしょ。
そもそもメールアドレスをそのままIDとして使うサイトも珍しくない。
Re: (スコア:0)
うん、使いまわすと悪いのはパスワードであって断固としてIDではない。
つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。
そんな面倒なことをする必要はなく、たぶん一番確実で手っ取り早いのは、キーチェーン的なソフトがブラウザ or OSに標準搭載されて、各サイトがそれでログインできるようになること。
そうすれば、PCがクラックされない限り全サイトがリスト型攻撃に安全になる。
欠点はPCがクラックされると、全サイトが同時に攻略されること…まあ今だってロガーとか仕込まれたらそうなんだけど。
Re:ID、パスワードとあとひとつ… (スコア:0)
つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。
この笑い話のオチは、メインパスワードと補助パスワードのペアが全サイト共通というので良いの?