アカウント名:
パスワード:
強度の高いパスワードを設定する人もいるけど、それ以上に1234みたいな単純なのにする人が多いっていうのは常識。なのに、なぜユーザー側に決めさせるんだろう。プログラムで勝手に強度の高いランダムなパスワード設定してそれを使わせたらすべて解決するのに。そりゃユーザー側にとってみたらそれを覚えるのは無理!ってなってメモ帳に頼ったりでそういう面ではセキュリティ落ちるし面倒だけど・・・
そもそもパスワードはユーザに決めさせる(=本人以外には知り得ない)って点が重要なわけで。一方向性ハッシュで保存されてるのもそういう理由。
と考えてたけど、未だにプレーンテキストで保存してるシステムとよく遭遇するので愕然としてる。
(=本人以外には知り得ない)
は、サーバー側に平文で届く時点で建前にしかならんと思う正直。
色々政治的な理由もあってハッシュ化はするし、考え無しならどうかとは思うけど、まずプレーンテキストで持ってる理由を聞いてからの話だと思う。ハッシュ化しろよの主張で気になるのはパスワード以外の個人情報の観点が抜けてる事で、同レベルかそれ以上にデリケートな個人情報の隠蔽をスルーしてパスワードばかりに拘ってるところ。パスワードどころかユーザーデータ自体が見えない様になっているのがあるべき姿だから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
なぜ人間に決めさせるんだろう (スコア:0)
強度の高いパスワードを設定する人もいるけど、それ以上に1234みたいな単純なのにする人が多いっていうのは常識。
なのに、なぜユーザー側に決めさせるんだろう。
プログラムで勝手に強度の高いランダムなパスワード設定してそれを使わせたらすべて解決するのに。そりゃユーザー側にとってみたらそれを覚えるのは無理!ってなってメモ帳に頼ったりでそういう面ではセキュリティ落ちるし面倒だけど・・・
Re: (スコア:0)
そもそもパスワードはユーザに決めさせる(=本人以外には知り得ない)って点が重要なわけで。
一方向性ハッシュで保存されてるのもそういう理由。
と考えてたけど、未だにプレーンテキストで保存してるシステムとよく遭遇するので愕然としてる。
Re:なぜ人間に決めさせるんだろう (スコア:0)
(=本人以外には知り得ない)
は、サーバー側に平文で届く時点で建前にしかならんと思う正直。
色々政治的な理由もあってハッシュ化はするし、考え無しならどうかとは思うけど、まずプレーンテキストで持ってる理由を聞いてからの話だと思う。
ハッシュ化しろよの主張で気になるのはパスワード以外の個人情報の観点が抜けてる事で、
同レベルかそれ以上にデリケートな個人情報の隠蔽をスルーしてパスワードばかりに拘ってるところ。
パスワードどころかユーザーデータ自体が見えない様になっているのがあるべき姿だから。