アカウント名:
パスワード:
なんかの拍子に一回だけ使ったシステムに登録されてすっかり忘れ去っているアカウント入れたら100は超えそう。それは数えられないし、未だに有効かどうかもわからないけど。退会してカードが無効化されて使えないはずのT-Pointから未だにメールが飛んできててそのまま削除してるけど、ユーザが利用できない状態でアカウント自体は有効なのかな。
>普通に生活していればアカウントの100や200はあるんだから、使い回すか管理ツールを使うしかない。
賢明な方なら、アカウントを作る度にメモか管理ソフトに情報入れておくんだろうなぁ。ネット経由でいろんなシステムを使うのが常識になっている今どきの人ならアタリマエなのかもしれない。
関係ないけど「秘密の質問」は設定してもほぼ忘れてしまうので役に立ってない>じぶん素直に答えるとモロバレになるからフェイクを混ぜて、結果的に忘れてしまう>じぶんあたまわるいなどんな質問でも同じ解答を設定しておけば良いんだろうけど。
それフィッシングメールかも。何度かそういうのを受け取ったことがある。
秘密の質問に答えてはいけない。秘密の質問に答えてはいけない。あれはクオカード500円券発行システムだ。技術的に言えば秘密の質問システムを突破されれば設定させる方に100%責任がある。
秘密の質問欄には、欄の文字数制限一杯までパスワードを生成して入れとけ。全角制限があれば定型文ではない適当な文章からコピペしてこい。jbeefが言っているような辞書から拾った単語の連続でも構わない。とにかくユーザアカウントに紐付いた事実を混ぜるのはやめろ。
「秘密の質問に正解するとログインできてしまうシステム」はアウトだけど、「秘密の質問に正解すると登録されたメールアドレスにアクセスすべきURLが書かれたメールが飛んでくる」ならまあアリじゃないかな。複数要件が絡むシステムで要件1つにアリナシ言うのって危険だよね。
その例で言えばパスワードリセットは登録メールアドレスの確認だけでよい。
秘密の質問は「誰でも成り済ませる疑似本人確認」で、存在すること自体が問題。免許証の本体ではなくあえてカラーコピーを確認しているくらいに異常なもの。SYKかSYHかSYAかで言えば、something everyone knows by the way it is。緩和策として、指示を無視してランダム文字列を入れることで辛うじてSYKにアップグレードできる。それも平文が保存されていて照合するようになっていれば効果は薄い。
本人確認が必要ならば本人確認をすべき。本人確認と誤認させる脆弱なパスワード認証の一形態である以上はどう使っても害悪でしかない。「第二パスワード」と呼ぶならば構わない。それのリセット経路を考えたくなかったから疑似本人確認でごまかしたのが発祥なのだろうけど。
他要素の認証なしでメールリセットだけだと、メアドが乗っ取られたら無条件に即死するので、それとは別のワンクッションを挟むことには意義があると思うけど?
特に、皆がPOP3でメールをダウンロードしてサーバーにはあまり残さなかった(容量的に残せなかった)時代ならいざ知らず。WEBメールや複数デバイスでの同期のためにサーバーに全部溜め込むのが当たり前になった現状では、メールアドレスへのアクセスだけでアカウントを奪取できると、使ってるサービスとIDが登録メールから即バレて、被害が拡大するだけでしょ。
と言うかそこまでのガードが必要なのは金銭が絡むサービスだけだと思うのどうでもいい無償のWebサービスや支払い情報を記憶しない商用サービスにまで過剰にそういうの求めるところがあるのはどうかと思う
そういうところが気になって気になって気になって仕方ないガイジもおるんやで
サービス提供者が今後金銭に絡むサービスを開始する「つもり」というのもあるので難しいんじゃないですかね。
「秘密の質問」ってのは人に漏らした時点で秘密じゃなくなるんだけど、秘密を共有できる関係(それも一方的)という態度を安易にとる神経が好きになれない。
そんな重要なサービスに利用しているメアドが乗っ取られた時点で既に詰んでるよ。
ダメだ。パスワードリセットに本人確認が求められるなら、本人確認をするべきだ。リセット専用固定パスワードは本人確認ではないのだから代用にはならない。手順がややこしいだから安全だろうというのは突破口を開ける悪手だ。
> 賢明な方なら、アカウントを作る度にメモか管理ソフトに情報入れておくんだろうなぁ。
「サイトごとのパスワードを導き出すルールを1、2個決めておく」というやり方だとそんなツールまったく使わずに事実上無限にパスワードを管理できます。頭の中で完結するので自分からの漏洩の危険も極めて低い。
# 催眠術師には近づかないこと
>「サイトごとのパスワードを導き出すルールを1、2個決めておく」
そういうのをスマートに決めて覚えて運用し続けられる人も憧れます。
自分でやるとルール自体をどこかに書いておかないと「あれ、なんだっけ?」になっちゃう罠。
># 催眠術師には近づかないこと
それとか、自白剤使われたりとかされるともう何やっても無駄かも。#フィクション界だと脳スキャンとか
そんなに難しいか?例えばサイトのドメイン名の文字に円周率の数桁目(ドメイン名の桁数とか)からの数値を足して、とか。
いつの間にドメイン変わってることあるからなあ
スラドとかな(いつの間にか、という程ではないけど)
ルールなんて面倒だったらサイトのURLやシステム名で何回かmd5とかで良いんだよ
自アカウント名で塩振っておけばなおよし
パスワード記号を必ず入れなければいけないルールのあるアカウントと、パスワードに特定の記号を入れられないルールのアカウントがある。一つのサイトに複数のパスワードがあるアカウントがある(証券会社等に多い)一つのアカウントを複数のサイトで共用されている(Aというサービス用に作ったが、Bというサービスと統合されて旧Aのアカウントはそのまま使うことになった)一つのサイトに(会社用と個人用に)複数のアカウントがある。
等があるので単純なルールだと難しいです。
自分の管理枠に入ってるのは70だな使ってるアカウントリストを作って管理してる不要になったらちゃんと解約してるから有象無象はないかな?一応、それとは別に捨てアドで登録してるサービスもあるのだけどそちらは一切管理なし、捨てアドはスパムがうざくなってきたらアドレス事態変えてるからもはや、アカウント復旧する手段がなかったり(個人情報もアカウントごとにデタラメ入れてるし)前のアドレスから移行してなかったから新しいアドレスで再登録したりとカオスな状況まあ、ここ最近はそういうサービスに新規登録すること事態が少なくなってるけど
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
忘れているアカウント (スコア:2, 参考になる)
なんかの拍子に一回だけ使ったシステムに登録されてすっかり忘れ去っているアカウント入れたら100は超えそう。
それは数えられないし、未だに有効かどうかもわからないけど。
退会してカードが無効化されて使えないはずのT-Pointから未だにメールが飛んできててそのまま削除してるけど、ユーザが利用できない状態でアカウント自体は有効なのかな。
>普通に生活していればアカウントの100や200はあるんだから、使い回すか管理ツールを使うしかない。
賢明な方なら、アカウントを作る度にメモか管理ソフトに情報入れておくんだろうなぁ。
ネット経由でいろんなシステムを使うのが常識になっている今どきの人ならアタリマエなのかもしれない。
関係ないけど「秘密の質問」は設定してもほぼ忘れてしまうので役に立ってない>じぶん
素直に答えるとモロバレになるからフェイクを混ぜて、結果的に忘れてしまう>じぶんあたまわるいな
どんな質問でも同じ解答を設定しておけば良いんだろうけど。
Re:忘れているアカウント (スコア:2)
Re:忘れているアカウント (スコア:1)
それフィッシングメールかも。
何度かそういうのを受け取ったことがある。
Re:忘れているアカウント (スコア:1, 参考になる)
秘密の質問に答えてはいけない。
秘密の質問に答えてはいけない。
あれはクオカード500円券発行システムだ。技術的に言えば秘密の質問システムを突破されれば設定させる方に100%責任がある。
秘密の質問欄には、欄の文字数制限一杯までパスワードを生成して入れとけ。全角制限があれば定型文ではない適当な文章からコピペしてこい。jbeefが言っているような辞書から拾った単語の連続でも構わない。とにかくユーザアカウントに紐付いた事実を混ぜるのはやめろ。
Re:忘れているアカウント (スコア:2)
「秘密の質問に正解するとログインできてしまうシステム」はアウトだけど、
「秘密の質問に正解すると登録されたメールアドレスにアクセスすべきURLが書かれたメールが飛んでくる」ならまあアリじゃないかな。
複数要件が絡むシステムで要件1つにアリナシ言うのって危険だよね。
Re: (スコア:0)
その例で言えばパスワードリセットは登録メールアドレスの確認だけでよい。
秘密の質問は「誰でも成り済ませる疑似本人確認」で、存在すること自体が問題。免許証の本体ではなくあえてカラーコピーを確認しているくらいに異常なもの。SYKかSYHかSYAかで言えば、something everyone knows by the way it is。緩和策として、指示を無視してランダム文字列を入れることで辛うじてSYKにアップグレードできる。それも平文が保存されていて照合するようになっていれば効果は薄い。
本人確認が必要ならば本人確認をすべき。本人確認と誤認させる脆弱なパスワード認証の一形態である以上はどう使っても害悪でしかない。「第二パスワード」と呼ぶならば構わない。それのリセット経路を考えたくなかったから疑似本人確認でごまかしたのが発祥なのだろうけど。
Re:忘れているアカウント (スコア:1)
他要素の認証なしでメールリセットだけだと、メアドが乗っ取られたら無条件に即死するので、それとは別のワンクッションを挟むことには意義があると思うけど?
特に、皆がPOP3でメールをダウンロードしてサーバーにはあまり残さなかった(容量的に残せなかった)時代ならいざ知らず。
WEBメールや複数デバイスでの同期のためにサーバーに全部溜め込むのが当たり前になった現状では、メールアドレスへのアクセスだけでアカウントを奪取できると、使ってるサービスとIDが登録メールから即バレて、被害が拡大するだけでしょ。
Re: (スコア:0)
と言うかそこまでのガードが必要なのは金銭が絡むサービスだけだと思うの
どうでもいい無償のWebサービスや支払い情報を記憶しない商用サービスにまで
過剰にそういうの求めるところがあるのはどうかと思う
Re: (スコア:0)
そういうところが気になって気になって気になって仕方ないガイジもおるんやで
Re: (スコア:0)
サービス提供者が今後金銭に絡むサービスを開始する「つもり」というのもあるので難しいんじゃないですかね。
「秘密の質問」ってのは人に漏らした時点で秘密じゃなくなるんだけど、秘密を共有できる関係(それも一方的)という態度を安易にとる神経が好きになれない。
Re: (スコア:0)
そんな重要なサービスに利用しているメアドが乗っ取られた時点で既に詰んでるよ。
Re: (スコア:0)
ダメだ。パスワードリセットに本人確認が求められるなら、本人確認をするべきだ。リセット専用固定パスワードは本人確認ではないのだから代用にはならない。
手順がややこしいだから安全だろうというのは突破口を開ける悪手だ。
Re:忘れているアカウント (スコア:1)
Re: (スコア:0)
> 賢明な方なら、アカウントを作る度にメモか管理ソフトに情報入れておくんだろうなぁ。
「サイトごとのパスワードを導き出すルールを1、2個決めておく」というやり方だとそんなツールまったく使わずに事実上無限にパスワードを管理できます。
頭の中で完結するので自分からの漏洩の危険も極めて低い。
# 催眠術師には近づかないこと
Re:忘れているアカウント (スコア:1)
>「サイトごとのパスワードを導き出すルールを1、2個決めておく」
そういうのをスマートに決めて覚えて運用し続けられる人も憧れます。
自分でやるとルール自体をどこかに書いておかないと「あれ、なんだっけ?」になっちゃう罠。
># 催眠術師には近づかないこと
それとか、自白剤使われたりとかされるともう何やっても無駄かも。
#フィクション界だと脳スキャンとか
Re: (スコア:0)
そんなに難しいか?
例えばサイトのドメイン名の文字に円周率の数桁目(ドメイン名の桁数とか)からの数値を足して、とか。
Re: (スコア:0)
いつの間にドメイン変わってることあるからなあ
Re: (スコア:0)
スラドとかな(いつの間にか、という程ではないけど)
Re: (スコア:0)
ルールなんて面倒だったらサイトのURLやシステム名で何回かmd5とかで良いんだよ
自アカウント名で塩振っておけばなおよし
Re: (スコア:0)
パスワード記号を必ず入れなければいけないルールのあるアカウントと、パスワードに特定の記号を入れられないルールのアカウントがある。
一つのサイトに複数のパスワードがあるアカウントがある(証券会社等に多い)
一つのアカウントを複数のサイトで共用されている(Aというサービス用に作ったが、Bというサービスと統合されて旧Aのアカウントはそのまま使うことになった)
一つのサイトに(会社用と個人用に)複数のアカウントがある。
等があるので単純なルールだと難しいです。
Re: (スコア:0)
自分の管理枠に入ってるのは70だな
使ってるアカウントリストを作って管理してる
不要になったらちゃんと解約してるから有象無象はないかな?
一応、それとは別に捨てアドで登録してるサービスもあるのだけど
そちらは一切管理なし、捨てアドはスパムがうざくなってきたらアドレス事態変えてるから
もはや、アカウント復旧する手段がなかったり(個人情報もアカウントごとにデタラメ入れてるし)
前のアドレスから移行してなかったから新しいアドレスで再登録したりとカオスな状況
まあ、ここ最近はそういうサービスに新規登録すること事態が少なくなってるけど