パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く」記事へのコメント

  • by Anonymous Coward on 2017年12月24日 8時52分 (#3334820)

    強度の高いパスワードを設定する人もいるけど、それ以上に1234みたいな単純なのにする人が多いっていうのは常識。
    なのに、なぜユーザー側に決めさせるんだろう。
    プログラムで勝手に強度の高いランダムなパスワード設定してそれを使わせたらすべて解決するのに。そりゃユーザー側にとってみたらそれを覚えるのは無理!ってなってメモ帳に頼ったりでそういう面ではセキュリティ落ちるし面倒だけど・・・

    • by Anonymous Coward

      それをやると、「パスワードを破られたのはシステム側でいい加減なパスワードを付けたからだ!」とか訴えられかねないから・・・とか?(笑)

      • by Anonymous Coward

        システム管理とは完全に独立している庶務部門がパスワードを作って配布するといい。
        電子媒体で配布するとセキュリティーホールになるので、紙媒体で配布(短冊状に切った紙)。

        • by Anonymous Coward

          パスワードでなくIPアドレスを配布するようにすればRFC2322準拠ですね。

    • by Anonymous Coward

      メールと、SMSかチャットツールかで連絡経路が確保できるなら、ログインを毎回ワンタイムトークンで認証してもいいと思うんだけどな。
      あるいはそれと2要素認証するパスワードだったら、かなり適当でも安全性は確保できる。

    • by Anonymous Coward

      初期パスワードそのまま使ってる人もいるね

    • by Anonymous Coward

      そもそもパスワードはユーザに決めさせる(=本人以外には知り得ない)って点が重要なわけで。
      一方向性ハッシュで保存されてるのもそういう理由。

      と考えてたけど、未だにプレーンテキストで保存してるシステムとよく遭遇するので愕然としてる。

      • by Anonymous Coward

        (=本人以外には知り得ない)

        は、サーバー側に平文で届く時点で建前にしかならんと思う正直。

        色々政治的な理由もあってハッシュ化はするし、考え無しならどうかとは思うけど、まずプレーンテキストで持ってる理由を聞いてからの話だと思う。
        ハッシュ化しろよの主張で気になるのはパスワード以外の個人情報の観点が抜けてる事で、
        同レベルかそれ以上にデリケートな個人情報の隠蔽をスルーしてパスワードばかりに拘ってるところ。
        パスワードどころかユーザーデータ自体が見えない様になっているのがあるべき姿だから。

    • by Anonymous Coward

      そういえば、スラドのパスワードは1回も変えたことがない…

      # ACで

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...