アカウント名:
パスワード:
以前、 ランダムなID(変更不可)を割り当てれば解決 [security.srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。
ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。
昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原
以前のコメントでも指摘されてるけどこれな
おまえの言っているIDな、それみんながパスワードと呼んでるやつだから [srad.jp]
「ID」だというのなら、利用者がそれを紙に書いてデスクトップに貼ったり、他のユーザーに伝えることも許容しろよ?「ID」なんだから当然問題ないよな?
問題ないよただしパスワードは他人には絶対教えてはいけないので、そんなことする意味がありません
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
ID を使いまわさないよう事業者に呼びかけるべき (スコア:5, 参考になる)
以前、 ランダムなID(変更不可)を割り当てれば解決 [security.srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。
ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。
昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原
Re:ID を使いまわさないよう事業者に呼びかけるべき (スコア:0)
以前のコメントでも指摘されてるけどこれな
「ID」だというのなら、利用者がそれを紙に書いてデスクトップに貼ったり、他のユーザーに伝えることも許容しろよ?「ID」なんだから当然問題ないよな?
Re: (スコア:0)
単純な個人狙いのパスハックの強度を著しく下げる/ユーザーへの負担を増やす(複雑なIDと複雑なパス)のどっちかしかない道なんだよなー。
Re: (スコア:0)
問題ないよ
ただしパスワードは他人には絶対教えてはいけないので、そんなことする意味がありません