アカウント名:
パスワード:
「パスワードのようにランダムな文字列を設定する」のならば、もはやそれは「質問」である意味が無いのだから質問じゃなくて二次パスワードもしくはアカウント情報更新専用パスにすればいいんじゃないのかな。
「どのサイトでどの質問を選んだか」をそらで覚えてられる人は少ないだろうからメモしておかないといけない項目も増えてしまうし。
意味がないねそもそもパスワードってのがもともとこの手の概念と同じレベルが走りだったはずだ様式が変わったからって本質的なもんは何も変わってない漏れやすいパスにすりゃあそりゃ問題で、パスワードをのように運用しないと駄目ってことで端っから破綻してる大した個人情報がないならメアドだけでパスワードリセット可能にすべきだしメールサービス側がセキュリティ担保してればこれで十分な救済策になる
システムを構築する側がどうするかという話ではありません。そもそも構築する側なら、こんなセキュリティホールにしかならない機能は採用しなければよいだけ。自分が利用するシステムで、どうしてもこういった機能の使用を求められた場合に、どう自衛するのかという話です。
今は終了したとあるサービスでは、質問の最後の選択肢が「自己責任で忘れないようにするので、デタラメな文字列を入れます」(大意)だったし、セキュリティのためパスワードと同様秘密の質問もハッシュ化していると言っていた。
秘密の質問の回答は普通ハッシュ化して保存する(で、このとき正規化して空白を抜いたり、全角に揃えたり、濁音を結合用記号に分けたりしないと入力方法によってズレる)けど、秘密の質問をハッシュ化したら、画面に表示できないじゃん。
秘密の質問もユーザに入力させるの?
秘密の質問を自分で書くタイプのもありましたね(現存するかは知らない)。
別の話だけど、「半年以上アクセスしなかったら必ず秘密の質問に回答しないとパスワード入力画面にすら行けない」というシステムがありパスワードは別に記録してあって分かるんだけど(選択式の)どの質問でどんな回答を設定したのかさっぱり覚えていないのでアクセス不可になっちゃった、ってのがあったなぁ。
ねんきんネットがそうですね。
母親の名前だとか卒業した学校の名前なんてのはなんだか書きたくない。その上好きな食べ物なんてのも割とその時の気分で変わってしまう。面倒くさいのでどの秘密の質問でも同じ答えにしてしまってるなぁ
もう全てワンタイムパスにして欲しい
利用規約:嘘偽りのない情報を登録してください
だよね。ちなみに俺はこうしている。
母親の名前は:フネ卒業した小学校は:私立さくらんぼ小学校初恋の人の名前は:かば好きなものは:女の子
母親の名前は:私立さくらんぼ小学校卒業した小学校は:かば初恋の人の名前は:女の子好きなものは:初恋の人の名前小学校
ぐらい外しておいたほうがいい
やろうとしたけどマッチングを忘れる…それでパスワードマネージャ使うんだったらもうランダム文字列でいいかなと。
母親の名前は:秘密です卒業した小学校は:秘密です初恋の人の名前は:秘密です好きなものは:秘密です
これなら忘れない
ゼロスくんを思い出した。
なぜ変わらないと思った?
そんなもん時間とともに風化するよね若い間だけの特権だよ
風化というかそもそも単一じゃないよね
>面倒くさいのでどの秘密の質問でも同じ答えにしてしまってるなぁ
これは止めようや
それが自身のプライベート情報である必要はない
あと、そもそもWebの認証とは相性が悪いと思う
たぶん、リセット用コードand/or重要情報へアクセスする時の2ndパスワードand/orリスクベース認証が機能すればいい程度なんだし
# 1stパスワード不明時のパスワードリセットはなくてもいいか# リセットは : メールとかのアクセス手段が潰れたときの、ワンセットリセット用とか# 2ndパスは : 支払い情報の変更/確認とか# リスク認証 : いつもと違うログイン時に要求とか
さすがにそれぞれは別にしたほうがいいけど、要件によるが、ぜんぶが必要になるサービスはあんまないだろうから追加で1、2の普段は使わない秘密コード持てばいいので、プライベート情報である必要はまったくないよな...
いまさら言われても、変更できません。
Yahoo! JAPAN IDに関するヘルプ - 「秘密の質問と答え」を設定するにはhttp://www.yahoo-help.jp/app/answers/detail/p/544/a_id/42001 [yahoo-help.jp]
米Yahoo!はどうなの? こないだ秘密の質問が漏洩したらしいけど、詰んでない?
これはヒントの筈だから覚えてないぞ>コロプラ(そりゃセキュリティは向上するだろうけど)
この個人情報盗聴サービスが始まった当初からランダムな文字列にしてますが。ちょっと考えたら気持ち悪くて仕方ないだろ
ほんと、この手の話題が出る旅にいつも誰か書いてるじゃんねぇ。
デスヨネー
パスワードと同じ扱いにしてサイトごとに別の文字列設定するって、もう常識かと思ってた。
残念ながら常識ではないです。殆どの人が素直に相手の言うことを聞いて酷い目にあいます。基本世の中「バカばっか」なんですよ。でなきゃいまだにオレオレ詐欺の被害がなくならないことを説明出来ないでしょ。
世の中馬鹿ばっかなのはいいんだけど、アレゲサイトをわざわざ見に来るような人たちまでそういうのばっかりだとちょっと萎える。
そうしたくても、ひらがな限定にしているサイトもあるからな。某銀行とか。
一番セキュリチィに気を使わないとならない銀行がわざわざ暗号強度を下げるような制限をして何を考えているんだと思うけど。
数字4桁の暗証番号つけさせるような連中にそんなこと言ってもなぁ。
ランダムなひらがなの文字列にすればいいだけでしょ。入力するときはどうせコピペするんだし。
>数字4桁の暗証番号つけさせるような連中にそんなこと言ってもなぁ。
カードや通帳などの物理的実体との組み合わせだから、言うほどはレベル低くないんですよ。チャレンジ回数も制限されてるし、窓口やATMなら撮影・記録もされてるし。
システムは全体で評価すべき。web経由は甘いんじゃない?ってのと通帳/カードの暗証番号とは一緒くたにしちゃダメ。
秘密の質問ってパスワードじゃないから、入力文字列がそのまま見えてしまうのがちょっと嫌。まあ入力するのはパスワードを忘れた時とかの非常時なんで、その時だけ背後に気をつければ大丈夫だけど。
まさか日常的に秘密の質問を訊いてくるサイトとかないよね?
>まさか日常的に秘密の質問を訊いてくるサイトとかないよね?楽天銀行。いちど突破された。
MyJCBとか。よく使う端末(ブラウザ)からは2回目以降を省略できるようになってはいるけど。
MyJCBのはパスワードリマインダじゃなくて追加パスワード。
# なんだけど、秘密の質問形式でやるのは単純にアホだと思う。# MyJCBは以前パスワードの桁数が7以下に制限されていたり、# あんまりセキュリティ面では信用できない印象。
毎回、誕生日とか出身校とか聞いてくる銀行はあるよ。
サーバー側で、まさか平文で保存していたりしませんよね?流出したらどうするんですか?
# 「好きなおぱんつは?」# ・JS未満のおぱんつ# ・JCのおぱんつ# ・JKのおぱんつ# ・JD/成人のおぱんつ# ・高齢者用おむつ# ・はいてないこそ至高
秘密の質問
# あなたの性癖は?
答え
# 秘密です
ふんどし
阪神タイガースのチケット販売サイトがユーザーフレンドリーだったのだけれど(ソース [mie-u.ac.jp])、
今改めてサイト [toraticket...unt.pia.jp]を確認してみると、やめてしまったっぽい。
JCBもいよいよ、3Dセキュア(J/Secure)に動的パスワード(ワンタイムパスワード)を導入ですね~。 クレジットカード詐欺犯罪抑止、ジャパンネット銀行、三井住友カードに続いて、これから益々増えそうです。 三井住友カードのワンタイムパスワード利用してますが、忘れることもなく、定期的にパスワード変更することもないので便利です。
100文字以上じゃ本人が覚えてられねえよ「8文字以上」だって苦情が来るのに
誰にも言えない秘密を墓まで持って行こうと思ってたが、ネットで入力してハッカーまで持って行ってしまったこと。
#半角106文字換算で。
お礼は3行以上(心のこもっていないお礼は受け付けられません)
を思い出した。
お礼は4桁以上(円建てでないと受け付けられません)
のほうがいいな?(元ネタがあるのか)
お札は4枚以上に空目した
どの神社のがいいですか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
質問である意味がない (スコア:2)
「パスワードのようにランダムな文字列を設定する」のならば、
もはやそれは「質問」である意味が無いのだから
質問じゃなくて二次パスワードもしくはアカウント情報更新専用パスにすればいいんじゃないのかな。
「どのサイトでどの質問を選んだか」をそらで覚えてられる人は少ないだろうから
メモしておかないといけない項目も増えてしまうし。
--------------------
/* SHADOWFIRE */
Re:質問である意味がない (スコア:2, すばらしい洞察)
意味がないね
そもそもパスワードってのがもともとこの手の概念と同じレベルが走りだったはずだ
様式が変わったからって本質的なもんは何も変わってない
漏れやすいパスにすりゃあそりゃ問題で、パスワードをのように運用しないと駄目ってことで端っから破綻してる
大した個人情報がないならメアドだけでパスワードリセット可能にすべきだし
メールサービス側がセキュリティ担保してればこれで十分な救済策になる
Re:質問である意味がない (スコア:1)
システムを構築する側がどうするかという話ではありません。
そもそも構築する側なら、こんなセキュリティホールにしかならない機能は採用しなければよいだけ。
自分が利用するシステムで、どうしてもこういった機能の使用を求められた場合に、どう自衛するのかという話です。
Re:質問である意味がない (スコア:1)
今は終了したとあるサービスでは、質問の最後の選択肢が「自己責任で忘れないようにするので、デタラメな文字列を入れます」(大意)だったし、セキュリティのためパスワードと同様秘密の質問もハッシュ化していると言っていた。
Re:質問である意味がない (スコア:1)
秘密の質問の回答は普通ハッシュ化して保存する(で、このとき正規化して空白を抜いたり、全角に揃えたり、濁音を結合用記号に分けたりしないと入力方法によってズレる)けど、秘密の質問をハッシュ化したら、画面に表示できないじゃん。
秘密の質問もユーザに入力させるの?
Re: (スコア:0)
秘密の質問を自分で書くタイプのもありましたね(現存するかは知らない)。
別の話だけど、
「半年以上アクセスしなかったら必ず秘密の質問に回答しないとパスワード入力画面にすら行けない」というシステムがあり
パスワードは別に記録してあって分かるんだけど
(選択式の)どの質問でどんな回答を設定したのかさっぱり覚えていないのでアクセス不可になっちゃった、ってのがあったなぁ。
Re: (スコア:0)
ねんきんネットがそうですね。
秘密の質問とは関係の無い答えにしてる (スコア:1)
母親の名前だとか卒業した学校の名前なんてのはなんだか書きたくない。
その上好きな食べ物なんてのも割とその時の気分で変わってしまう。
面倒くさいのでどの秘密の質問でも同じ答えにしてしまってるなぁ
もう全てワンタイムパスにして欲しい
Re:秘密の質問とは関係の無い答えにしてる (スコア:2, おもしろおかしい)
利用規約:嘘偽りのない情報を登録してください
Re:秘密の質問とは関係の無い答えにしてる (スコア:1)
だよね。ちなみに俺はこうしている。
母親の名前は:フネ
卒業した小学校は:私立さくらんぼ小学校
初恋の人の名前は:かば
好きなものは:女の子
Re:秘密の質問とは関係の無い答えにしてる (スコア:1)
母親の名前は:私立さくらんぼ小学校
卒業した小学校は:かば
初恋の人の名前は:女の子
好きなものは:初恋の人の名前小学校
ぐらい外しておいたほうがいい
Re:秘密の質問とは関係の無い答えにしてる (スコア:1)
やろうとしたけどマッチングを忘れる…
それでパスワードマネージャ使うんだったらもうランダム文字列でいいかなと。
Re: (スコア:0)
母親の名前は:秘密です
卒業した小学校は:秘密です
初恋の人の名前は:秘密です
好きなものは:秘密です
これなら忘れない
Re: (スコア:0)
ゼロスくんを思い出した。
Re:秘密の質問とは関係の無い答えにしてる (スコア:1)
Re: (スコア:0)
なぜ変わらないと思った?
Re: (スコア:0)
そんなもん時間とともに風化するよね
若い間だけの特権だよ
Re: (スコア:0)
風化というか
そもそも単一じゃないよね
Re: (スコア:0)
>面倒くさいのでどの秘密の質問でも同じ答えにしてしまってるなぁ
これは止めようや
知識ベースの認証があること自体はべつにいい (スコア:1)
それが自身のプライベート情報である必要はない
あと、そもそもWebの認証とは相性が悪いと思う
たぶん、リセット用コードand/or重要情報へアクセスする時の2ndパスワードand/orリスクベース認証が機能すればいい程度なんだし
# 1stパスワード不明時のパスワードリセットはなくてもいいか
# リセットは : メールとかのアクセス手段が潰れたときの、ワンセットリセット用とか
# 2ndパスは : 支払い情報の変更/確認とか
# リスク認証 : いつもと違うログイン時に要求とか
さすがにそれぞれは別にしたほうがいいけど、要件によるが、ぜんぶが必要になるサービスはあんまないだろうから追加で1、2の普段は使わない秘密コード持てばいいので、プライベート情報である必要はまったくないよな...
M-FalconSky (暑いか寒い)
変更できない (スコア:1)
いまさら言われても、変更できません。
Yahoo! JAPAN IDに関するヘルプ - 「秘密の質問と答え」を設定するには
http://www.yahoo-help.jp/app/answers/detail/p/544/a_id/42001 [yahoo-help.jp]
Re: (スコア:0)
米Yahoo!はどうなの? こないだ秘密の質問が漏洩したらしいけど、詰んでない?
秘密の質問も聞いてくる (スコア:1)
これはヒントの筈だから覚えてないぞ>コロプラ
(そりゃセキュリティは向上するだろうけど)
何をいまさら (スコア:0)
この個人情報盗聴サービスが始まった当初からランダムな文字列にしてますが。ちょっと考えたら気持ち悪くて仕方ないだろ
Re: (スコア:0)
ほんと、この手の話題が出る旅にいつも誰か書いてるじゃんねぇ。
Re: (スコア:0)
デスヨネー
パスワードと同じ扱いにしてサイトごとに別の文字列設定するって、もう常識かと思ってた。
Re:何をいまさら (スコア:1)
残念ながら常識ではないです。
殆どの人が素直に相手の言うことを聞いて酷い目にあいます。
基本世の中「バカばっか」なんですよ。
でなきゃいまだにオレオレ詐欺の被害がなくならないことを説明出来ないでしょ。
Re: (スコア:0)
世の中馬鹿ばっかなのはいいんだけど、
アレゲサイトをわざわざ見に来るような人たちまで
そういうのばっかりだとちょっと萎える。
Re: (スコア:0)
そうしたくても、ひらがな限定にしているサイトもあるからな。某銀行とか。
一番セキュリチィに気を使わないとならない銀行がわざわざ暗号強度を下げるような制限をして何を考えているんだと思うけど。
Re: (スコア:0)
数字4桁の暗証番号つけさせるような連中にそんなこと言ってもなぁ。
ランダムなひらがなの文字列にすればいいだけでしょ。
入力するときはどうせコピペするんだし。
Re: (スコア:0)
>数字4桁の暗証番号つけさせるような連中にそんなこと言ってもなぁ。
カードや通帳などの物理的実体との組み合わせだから、言うほどはレベル低くないんですよ。
チャレンジ回数も制限されてるし、窓口やATMなら撮影・記録もされてるし。
システムは全体で評価すべき。
web経由は甘いんじゃない?ってのと通帳/カードの暗証番号とは一緒くたにしちゃダメ。
入力フォームが丸見え (スコア:0)
秘密の質問ってパスワードじゃないから、入力文字列がそのまま見えてしまうのがちょっと嫌。
まあ入力するのはパスワードを忘れた時とかの非常時なんで、その時だけ背後に気をつければ大丈夫だけど。
まさか日常的に秘密の質問を訊いてくるサイトとかないよね?
Re:入力フォームが丸見え (スコア:1)
>まさか日常的に秘密の質問を訊いてくるサイトとかないよね?
楽天銀行。
いちど突破された。
Re:入力フォームが丸見え (スコア:1)
MyJCBとか。
よく使う端末(ブラウザ)からは2回目以降を省略できるようになってはいるけど。
Re: (スコア:0)
MyJCBのはパスワードリマインダじゃなくて追加パスワード。
# なんだけど、秘密の質問形式でやるのは単純にアホだと思う。
# MyJCBは以前パスワードの桁数が7以下に制限されていたり、
# あんまりセキュリティ面では信用できない印象。
Re: (スコア:0)
毎回、誕生日とか出身校とか聞いてくる銀行はあるよ。
サーバー側でもパスワード並に扱うべき (スコア:0)
サーバー側で、まさか平文で保存していたりしませんよね?
流出したらどうするんですか?
# 「好きなおぱんつは?」
# ・JS未満のおぱんつ
# ・JCのおぱんつ
# ・JKのおぱんつ
# ・JD/成人のおぱんつ
# ・高齢者用おむつ
# ・はいてないこそ至高
Re: (スコア:0)
秘密の質問
# あなたの性癖は?
答え
# 秘密です
Re: (スコア:0)
ふんどし
絶対に答えを忘れない為にサイト側で対応した例 (スコア:0)
阪神タイガースのチケット販売サイトがユーザーフレンドリーだったのだけれど(ソース [mie-u.ac.jp])、
今改めてサイト [toraticket...unt.pia.jp]を確認してみると、やめてしまったっぽい。
ネットショッピングのワンタイムパスワード! (スコア:0)
JCBもいよいよ、3Dセキュア(J/Secure)に動的パスワード(ワンタイムパスワード)を導入ですね~。 クレジットカード詐欺犯罪抑止、ジャパンネット銀行、三井住友カードに続いて、これから益々増えそうです。 三井住友カードのワンタイムパスワード利用してますが、忘れることもなく、定期的にパスワード変更することもないので便利です。
Re: (スコア:0)
100文字以上じゃ本人が覚えてられねえよ
「8文字以上」だって苦情が来るのに
ハッカーの手口にソーシャルエンジニアリングというものがありまして・・・ (スコア:0)
誰にも言えない秘密を墓まで持って行こうと思ってたが、
ネットで入力してハッカーまで持って行ってしまったこと。
#半角106文字換算で。
Re: (スコア:0)
お礼は3行以上(心のこもっていないお礼は受け付けられません)
を思い出した。
Re: (スコア:0)
お礼は4桁以上(円建てでないと受け付けられません)
のほうがいいな?
(元ネタがあるのか)
Re:あなたの誰にも言えない秘密を入力してください: (スコア:1)
お札は4枚以上に空目した
Re:あなたの誰にも言えない秘密を入力してください: (スコア:1)
どの神社のがいいですか?