アカウント名:
パスワード:
強度の高いパスワードを設定する人もいるけど、それ以上に1234みたいな単純なのにする人が多いっていうのは常識。なのに、なぜユーザー側に決めさせるんだろう。プログラムで勝手に強度の高いランダムなパスワード設定してそれを使わせたらすべて解決するのに。そりゃユーザー側にとってみたらそれを覚えるのは無理!ってなってメモ帳に頼ったりでそういう面ではセキュリティ落ちるし面倒だけど・・・
それをやると、「パスワードを破られたのはシステム側でいい加減なパスワードを付けたからだ!」とか訴えられかねないから・・・とか?(笑)
システム管理とは完全に独立している庶務部門がパスワードを作って配布するといい。電子媒体で配布するとセキュリティーホールになるので、紙媒体で配布(短冊状に切った紙)。
パスワードでなくIPアドレスを配布するようにすればRFC2322準拠ですね。
メールと、SMSかチャットツールかで連絡経路が確保できるなら、ログインを毎回ワンタイムトークンで認証してもいいと思うんだけどな。あるいはそれと2要素認証するパスワードだったら、かなり適当でも安全性は確保できる。
初期パスワードそのまま使ってる人もいるね
そもそもパスワードはユーザに決めさせる(=本人以外には知り得ない)って点が重要なわけで。一方向性ハッシュで保存されてるのもそういう理由。
と考えてたけど、未だにプレーンテキストで保存してるシステムとよく遭遇するので愕然としてる。
(=本人以外には知り得ない)
は、サーバー側に平文で届く時点で建前にしかならんと思う正直。
色々政治的な理由もあってハッシュ化はするし、考え無しならどうかとは思うけど、まずプレーンテキストで持ってる理由を聞いてからの話だと思う。ハッシュ化しろよの主張で気になるのはパスワード以外の個人情報の観点が抜けてる事で、同レベルかそれ以上にデリケートな個人情報の隠蔽をスルーしてパスワードばかりに拘ってるところ。パスワードどころかユーザーデータ自体が見えない様になっているのがあるべき姿だから。
そういえば、スラドのパスワードは1回も変えたことがない…
# ACで
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
なぜ人間に決めさせるんだろう (スコア:0)
強度の高いパスワードを設定する人もいるけど、それ以上に1234みたいな単純なのにする人が多いっていうのは常識。
なのに、なぜユーザー側に決めさせるんだろう。
プログラムで勝手に強度の高いランダムなパスワード設定してそれを使わせたらすべて解決するのに。そりゃユーザー側にとってみたらそれを覚えるのは無理!ってなってメモ帳に頼ったりでそういう面ではセキュリティ落ちるし面倒だけど・・・
Re: (スコア:0)
それをやると、「パスワードを破られたのはシステム側でいい加減なパスワードを付けたからだ!」とか訴えられかねないから・・・とか?(笑)
Re: (スコア:0)
システム管理とは完全に独立している庶務部門がパスワードを作って配布するといい。
電子媒体で配布するとセキュリティーホールになるので、紙媒体で配布(短冊状に切った紙)。
Re: (スコア:0)
パスワードでなくIPアドレスを配布するようにすればRFC2322準拠ですね。
Re: (スコア:0)
メールと、SMSかチャットツールかで連絡経路が確保できるなら、ログインを毎回ワンタイムトークンで認証してもいいと思うんだけどな。
あるいはそれと2要素認証するパスワードだったら、かなり適当でも安全性は確保できる。
Re: (スコア:0)
初期パスワードそのまま使ってる人もいるね
Re: (スコア:0)
そもそもパスワードはユーザに決めさせる(=本人以外には知り得ない)って点が重要なわけで。
一方向性ハッシュで保存されてるのもそういう理由。
と考えてたけど、未だにプレーンテキストで保存してるシステムとよく遭遇するので愕然としてる。
Re: (スコア:0)
(=本人以外には知り得ない)
は、サーバー側に平文で届く時点で建前にしかならんと思う正直。
色々政治的な理由もあってハッシュ化はするし、考え無しならどうかとは思うけど、まずプレーンテキストで持ってる理由を聞いてからの話だと思う。
ハッシュ化しろよの主張で気になるのはパスワード以外の個人情報の観点が抜けてる事で、
同レベルかそれ以上にデリケートな個人情報の隠蔽をスルーしてパスワードばかりに拘ってるところ。
パスワードどころかユーザーデータ自体が見えない様になっているのがあるべき姿だから。
Re: (スコア:0)
そういえば、スラドのパスワードは1回も変えたことがない…
# ACで