アカウント名:
パスワード:
そんなこと言ったって、先進国どころか発展途上国ですら一般ユーザーがオンラインで複数のサービスを使用するのなんて普遍的なことになってきてる世の中で人間の覚えられるパスワード(特に複雑なもの)には上限があって、いちいち覚えきれない以上、共通化せざるを得ないのは仕方ないと思う
確かに使い回しが脆弱になるのは事実だろうが、だから使い回しはやめよう、でもパスワードの強度はしっかりね、なんて言われたって一般人には実践不可能これってもうオンラインサービスという存在と、それを利用する人間の限界に依存するものだからどうしようもない「交通事故が増
> 「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたときに大丈夫なパスワード管理ツール」なんて存在しないしな
こういう半可通がセキュリティリスクになる。
「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたとき」に大丈夫なパスワード管理ツールというのをご存じなのですか?後学のためにご教示ください。
親コメは引っこ抜かれることを防止するためにツールを使わず、弱いパスワードを使い回すという方法を取ってますよね。使い回すことによるリスクと引っこ抜かれるリスクのうち、後者を重くみることを元ACさんは「半可通」と言っているのでしょう。
管理ツールから抜かれるケースより、不適切なパスワードが破られるケースの方がより耳慣れているとは思います。一つの弱いパスワードを使い回しても、平文パスワードを一つのパスワードで暗号化しても、破るのに最低限必要な資源は同じかもしれませんし。
使い回されるリスクは特定のサービス(まあ複数が重複することはあるけど)にしか影響しないけど、漏洩するリスクは使用してる全部のサービスの情報が纏めて引っこ抜かれるから、比較するのは難しい。
あと管理ツールそのものが「まだ普及してないから」リスクが顕在化してないだけってのはある。もうだいぶ昔の話だが「Windowsはウィルスに感染しやすい、Macは安全」みたいなネタが人口に膾炙していた時期もあったわけだし(システム的に安全だったわけではなく、単に母数が少なかったからクラッカーの攻撃対象にされにくかっただけなのに)
使い回しているパスワードが割られたら、使い回し先のサービスがすべて割られた状態になりますよね。それではランダムなパスワードを生成して共通の対称暗号で暗号化している状態とほぼ同じです。
「一気にまとめて引っこ抜かれる」という"危険感"は管理ツールの方が高く思えるかもしれませんが、それは実際に引っこ抜かれるリスクを評価しなければ分かりませんし、脆弱なパスワードや使い回しのパスワードを設定している場合に比べて、少なくとも直ちに危険とは言えないですよ。
だったら、管理ツールに全部入れてサービスには完全にランダムなパスワードを設定したっていいんです。少なくとも、覚えられる程度に複雑さを限定してしまうことの危険性はなくすことができます。
うん?「使い回し」の意味わかってます?全部のサービスで同じユーザID、パスワードを使うってことですよ。使ってるサービスの内どっか一箇所がお漏らししたら使ってる全部のサービスのユーザID、パスワードが自動的にバレるってことです。まあ攻撃者が知らんようなマイナーサイトは無事でしょうけども。
パスワードはともかく、ユーザーIDって全部のサービスで同じものが使える(取れる)のか?常識的に考えてユーザーIDって一意だから、新しいサービスが出るたびに片っ端からID取ってまわる奴でもない限り、同じIDを使い回すのって簡単じゃないと思うが。
まあメアドがユーザーIDになってるってシステムなら少なからずあるけど、せいぜいその程度じゃね?
WEB上のサービスだとメアドをIDにするサービス多数。その気になれば結構なサービスでIDとパスワードを同じに出来るよ。
後、昨今流行りの外部サービスによる認証でも結果的に同じ。一か所抜けたら(って認証は一か所だけなんだけど)他もアクセス可能になっちまう。
私が使ってるだけでも、メールアドレスをIDに使うサービスは40件くらいありますね。ユーザIDを強制するところはその半分もないです。ユーザIDは公開されるから、という理由でログインにはメールアドレスしか使えないサービスもありますね。
メモ帳に書いてた頃はこのうちの10以上で同じパスワードを使い回していたものです。漏れていたらどうなっていたでしょうか。はてさて。
サイト毎にユーザーID変えてたら結局サイト毎のパスワードが覚えられないってのと同じ問題がユーザーIDについて起こるんじゃねーの?
以前はユーザーIDだったのにメールアドレスに変更してるところも結構あるよね
あ、知ってる。どんなツールをあげても難癖つけてくるパターンだ。
具体例を挙げられないくせに他人を半可通とか言っちゃってる半可通が開き直ってる典型ですね。
ミルパス [kingjim.co.jp]なら適切に管理すれば大丈夫。#ツールの概念が違う?
それにUSB接続した時、むりやり外部からデータ読み取れる脆弱性やバックドアがついてないことが確認できるんですかね?あるいは公衆Wifiに勝手に繋いでデータ送信してないことは確認できるんですか?
キングジムなら割と大丈夫だろうとは思うけど、製造工場がチョンボやらかしてないとも限らないし、キングジム直販でもない限りはパチ物を掴まされるリスクもあるんですが。
自分の登録してるオンラインサイトのログイン情報、全部預けられるだけの信頼性はどこにあるんでしょうかね、って話かと。
だから適切に管理すればと言ったのに。USB接続はパスワード管理のためだから独立した専用端末なら大丈夫。公衆wifiはパスワード入力なんかが必要だし、それでも不安なら電磁シールドするなりすればいい。ミルパス自体には電波を放出しなければならない機能はない。パチもののリスクについても同様。そもそもの要件(#3716258)がそういったメーカー側の悪意に対するものだからね。
そもそもそういった脆弱性があっても大丈夫なツールということで名前を挙げているのに脆弱性が無いことをどうやって保証するのか気にするということは、#3176274のいうとおり難癖つけたいだけなんですかね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
んなこと言っても (スコア:0)
そんなこと言ったって、先進国どころか発展途上国ですら一般ユーザーがオンラインで複数のサービスを使用するのなんて普遍的なことになってきてる世の中で
人間の覚えられるパスワード(特に複雑なもの)には上限があって、いちいち覚えきれない以上、共通化せざるを得ないのは仕方ないと思う
確かに使い回しが脆弱になるのは事実だろうが、だから使い回しはやめよう、でもパスワードの強度はしっかりね、なんて言われたって一般人には実践不可能
これってもうオンラインサービスという存在と、それを利用する人間の限界に依存するものだからどうしようもない
「交通事故が増
Re: (スコア:0)
> 「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたときに大丈夫なパスワード管理ツール」なんて存在しないしな
こういう半可通がセキュリティリスクになる。
Re:んなこと言っても (スコア:0)
「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたとき」
に大丈夫なパスワード管理ツールというのをご存じなのですか?
後学のためにご教示ください。
Re:んなこと言っても (スコア:2)
親コメは引っこ抜かれることを防止するためにツールを使わず、弱いパスワードを使い回すという方法を取ってますよね。
使い回すことによるリスクと引っこ抜かれるリスクのうち、後者を重くみることを元ACさんは「半可通」と言っているのでしょう。
管理ツールから抜かれるケースより、不適切なパスワードが破られるケースの方がより耳慣れているとは思います。
一つの弱いパスワードを使い回しても、平文パスワードを一つのパスワードで暗号化しても、破るのに最低限必要な資源は同じかもしれませんし。
Re: (スコア:0)
使い回されるリスクは特定のサービス(まあ複数が重複することはあるけど)にしか影響しないけど、漏洩するリスクは使用してる全部のサービスの情報が纏めて引っこ抜かれるから、比較するのは難しい。
あと管理ツールそのものが「まだ普及してないから」リスクが顕在化してないだけってのはある。
もうだいぶ昔の話だが「Windowsはウィルスに感染しやすい、Macは安全」みたいなネタが人口に膾炙していた時期もあったわけだし(システム的に安全だったわけではなく、単に母数が少なかったからクラッカーの攻撃対象にされにくかっただけなのに)
Re:んなこと言っても (スコア:2)
使い回しているパスワードが割られたら、使い回し先のサービスがすべて割られた状態になりますよね。
それではランダムなパスワードを生成して共通の対称暗号で暗号化している状態とほぼ同じです。
「一気にまとめて引っこ抜かれる」という"危険感"は管理ツールの方が高く思えるかもしれませんが、
それは実際に引っこ抜かれるリスクを評価しなければ分かりませんし、脆弱なパスワードや使い回しの
パスワードを設定している場合に比べて、少なくとも直ちに危険とは言えないですよ。
だったら、管理ツールに全部入れてサービスには完全にランダムなパスワードを設定したっていいんです。
少なくとも、覚えられる程度に複雑さを限定してしまうことの危険性はなくすことができます。
Re: (スコア:0)
うん?「使い回し」の意味わかってます?
全部のサービスで同じユーザID、パスワードを使うってことですよ。
使ってるサービスの内どっか一箇所がお漏らししたら使ってる全部のサービスのユーザID、パスワードが自動的にバレるってことです。
まあ攻撃者が知らんようなマイナーサイトは無事でしょうけども。
Re: (スコア:0)
パスワードはともかく、ユーザーIDって全部のサービスで同じものが使える(取れる)のか?
常識的に考えてユーザーIDって一意だから、新しいサービスが出るたびに片っ端からID取ってまわる奴でもない限り、同じIDを使い回すのって簡単じゃないと思うが。
まあメアドがユーザーIDになってるってシステムなら少なからずあるけど、せいぜいその程度じゃね?
Re: (スコア:0)
WEB上のサービスだとメアドをIDにするサービス多数。
その気になれば結構なサービスでIDとパスワードを同じに出来るよ。
後、昨今流行りの外部サービスによる認証でも結果的に同じ。
一か所抜けたら(って認証は一か所だけなんだけど)他もアクセス可能になっちまう。
Re:んなこと言っても (スコア:2)
私が使ってるだけでも、メールアドレスをIDに使うサービスは40件くらいありますね。ユーザIDを強制するところはその半分もないです。
ユーザIDは公開されるから、という理由でログインにはメールアドレスしか使えないサービスもありますね。
メモ帳に書いてた頃はこのうちの10以上で同じパスワードを使い回していたものです。漏れていたらどうなっていたでしょうか。はてさて。
Re: (スコア:0)
サイト毎にユーザーID変えてたら結局サイト毎のパスワードが覚えられないってのと同じ問題がユーザーIDについて起こるんじゃねーの?
Re: (スコア:0)
以前はユーザーIDだったのにメールアドレスに変更してるところも結構あるよね
Re: (スコア:0)
あ、知ってる。
どんなツールをあげても難癖つけてくるパターンだ。
Re: (スコア:0)
具体例を挙げられないくせに他人を半可通とか言っちゃってる半可通が開き直ってる典型ですね。
Re: (スコア:0)
ミルパス [kingjim.co.jp]なら適切に管理すれば大丈夫。
#ツールの概念が違う?
Re: (スコア:0)
それにUSB接続した時、むりやり外部からデータ読み取れる脆弱性やバックドアがついてないことが確認できるんですかね?あるいは公衆Wifiに勝手に繋いでデータ送信してないことは確認できるんですか?
キングジムなら割と大丈夫だろうとは思うけど、製造工場がチョンボやらかしてないとも限らないし、キングジム直販でもない限りはパチ物を掴まされるリスクもあるんですが。
自分の登録してるオンラインサイトのログイン情報、全部預けられるだけの信頼性はどこにあるんでしょうかね、って話かと。
Re: (スコア:0)
だから適切に管理すればと言ったのに。
USB接続はパスワード管理のためだから独立した専用端末なら大丈夫。
公衆wifiはパスワード入力なんかが必要だし、それでも不安なら電磁シールドするなりすればいい。
ミルパス自体には電波を放出しなければならない機能はない。
パチもののリスクについても同様。そもそもの要件(#3716258)がそういったメーカー側の悪意に対するものだからね。
そもそもそういった脆弱性があっても大丈夫なツールということで名前を挙げているのに
脆弱性が無いことをどうやって保証するのか気にするということは、#3176274のいうとおり難癖つけたいだけなんですかね。