アカウント名:
パスワード:
こういう問題が起こるとすぐ「ID使い回す奴が悪い」って意見が出るけど、それは匿名文化に浸りきったネットジャンキーの発想であって、一般人が本名ベースのID使っちゃうのはどうしようもない。で、いくら自サイトで対策打っても、漏洩したリストのほうに平文でパスワードが載ってたらこれまたどうしようもない。これはもう、ユーザーが選んだIDの他に、サイト側から強制的にもうひとつユーザーが自由選択不可なID的なものを割り付けるしかないね。3桁程度でもリスト攻撃には十分対処できるはず。
「ID使い回す奴が悪い」
IDを使いまわす奴が悪い、なんて誰も言ってないでしょ。そもそもメールアドレスをそのままIDとして使うサイトも珍しくない。
うん、使いまわすと悪いのはパスワードであって断固としてIDではない。つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。
そんな面倒なことをする必要はなく、たぶん一番確実で手っ取り早いのは、キーチェーン的なソフトがブラウザ or OSに標準搭載されて、各サイトがそれでログインできるようになること。そうすれば、PCがクラックされない限り全サイトがリスト型攻撃に安全になる。欠点はPCがクラックされると、全サイトが同時に攻略されること…まあ今だってロガーとか仕込まれたらそうなんだけど。
キーチェーン的なソフトがブラウザ or OSに標準搭載されて、
今時標準搭載されてない環境があるだろうか?って思ったけどスマホがそうなんだっけ。あと、欲しいのは標準でのパスワード生成機能な気がする。
それと、今回のも第三者サイトからの流出なのだろうか。メールアドレスのリストを使ったリバースブルートフォースアタックの可能性とか、ロガーなどマルウェアにより収集されたリストが流通してる可能性とか。
Windows 環境に Mac OS X の Keychain 的なソフトって標準搭載されていましたっけ?
Web については、Firefox でなんとかなりますが。
サーセン、自動でサイトごとに別々のパスワード生成してアカウント登録→ログインまでしてくれる機能ね。と書いてから思ったけど、それって最近流行りのTwitterやらFacebookやら使ったOAuth認証でいい気がしてきた。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
ID、パスワードとあとひとつ… (スコア:1)
こういう問題が起こるとすぐ「ID使い回す奴が悪い」って意見が出るけど、それは匿名文化に浸りきったネットジャンキーの発想であって、一般人が本名ベースのID使っちゃうのはどうしようもない。
で、いくら自サイトで対策打っても、漏洩したリストのほうに平文でパスワードが載ってたらこれまたどうしようもない。
これはもう、ユーザーが選んだIDの他に、サイト側から強制的にもうひとつユーザーが自由選択不可なID的なものを割り付けるしかないね。3桁程度でもリスト攻撃には十分対処できるはず。
Re: (スコア:0)
「ID使い回す奴が悪い」
IDを使いまわす奴が悪い、なんて誰も言ってないでしょ。
そもそもメールアドレスをそのままIDとして使うサイトも珍しくない。
Re: (スコア:0)
うん、使いまわすと悪いのはパスワードであって断固としてIDではない。
つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。
そんな面倒なことをする必要はなく、たぶん一番確実で手っ取り早いのは、キーチェーン的なソフトがブラウザ or OSに標準搭載されて、各サイトがそれでログインできるようになること。
そうすれば、PCがクラックされない限り全サイトがリスト型攻撃に安全になる。
欠点はPCがクラックされると、全サイトが同時に攻略されること…まあ今だってロガーとか仕込まれたらそうなんだけど。
Re:ID、パスワードとあとひとつ… (スコア:1)
キーチェーン的なソフトがブラウザ or OSに標準搭載されて、
今時標準搭載されてない環境があるだろうか?
って思ったけどスマホがそうなんだっけ。
あと、欲しいのは標準でのパスワード生成機能な気がする。
それと、今回のも第三者サイトからの流出なのだろうか。
メールアドレスのリストを使ったリバースブルートフォースアタックの可能性とか、ロガーなどマルウェアにより収集されたリストが流通してる可能性とか。
Re:ID、パスワードとあとひとつ… (スコア:2)
Windows 環境に Mac OS X の Keychain 的なソフトって標準搭載されていましたっけ?
Web については、Firefox でなんとかなりますが。
Re: (スコア:0)
サーセン、自動でサイトごとに別々のパスワード生成してアカウント登録→ログインまでしてくれる機能ね。
と書いてから思ったけど、それって最近流行りのTwitterやらFacebookやら使ったOAuth認証でいい気がしてきた。