パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

スラドに聞け:アカウントの数、どれだけある?」記事へのコメント

  • なんかの拍子に一回だけ使ったシステムに登録されてすっかり忘れ去っているアカウント入れたら100は超えそう。
    それは数えられないし、未だに有効かどうかもわからないけど。
    退会してカードが無効化されて使えないはずのT-Pointから未だにメールが飛んできててそのまま削除してるけど、ユーザが利用できない状態でアカウント自体は有効なのかな。

    >普通に生活していればアカウントの100や200はあるんだから、使い回すか管理ツールを使うしかない。

    賢明な方なら、アカウントを作る度にメモか管理ソフトに情報入れておくんだろうなぁ。
    ネット経由でいろんなシステムを使うのが常識になっている今どきの人ならアタリマエなのかもしれない。

    関係ないけど「秘密の質問」は設定してもほぼ忘れてしまうので役に立ってない>じぶん
    素直に答えるとモロバレになるからフェイクを混ぜて、結果的に忘れてしまう>じぶんあたまわるいな
    どんな質問でも同じ解答を設定しておけば良いんだろうけど。

    • Re: (スコア:1, 参考になる)

      by Anonymous Coward

      秘密の質問に答えてはいけない。
      秘密の質問に答えてはいけない。
      あれはクオカード500円券発行システムだ。技術的に言えば秘密の質問システムを突破されれば設定させる方に100%責任がある。

      秘密の質問欄には、欄の文字数制限一杯までパスワードを生成して入れとけ。全角制限があれば定型文ではない適当な文章からコピペしてこい。jbeefが言っているような辞書から拾った単語の連続でも構わない。とにかくユーザアカウントに紐付いた事実を混ぜるのはやめろ。

      • 「秘密の質問に正解するとログインできてしまうシステム」はアウトだけど、
        「秘密の質問に正解すると登録されたメールアドレスにアクセスすべきURLが書かれたメールが飛んでくる」ならまあアリじゃないかな。
        複数要件が絡むシステムで要件1つにアリナシ言うのって危険だよね。

        • by Anonymous Coward on 2018年03月29日 19時16分 (#3384687)

          その例で言えばパスワードリセットは登録メールアドレスの確認だけでよい。

          秘密の質問は「誰でも成り済ませる疑似本人確認」で、存在すること自体が問題。免許証の本体ではなくあえてカラーコピーを確認しているくらいに異常なもの。SYKかSYHかSYAかで言えば、something everyone knows by the way it is。緩和策として、指示を無視してランダム文字列を入れることで辛うじてSYKにアップグレードできる。それも平文が保存されていて照合するようになっていれば効果は薄い。

          本人確認が必要ならば本人確認をすべき。本人確認と誤認させる脆弱なパスワード認証の一形態である以上はどう使っても害悪でしかない。「第二パスワード」と呼ぶならば構わない。それのリセット経路を考えたくなかったから疑似本人確認でごまかしたのが発祥なのだろうけど。

          親コメント
          • 他要素の認証なしでメールリセットだけだと、メアドが乗っ取られたら無条件に即死するので、それとは別のワンクッションを挟むことには意義があると思うけど?

            特に、皆がPOP3でメールをダウンロードしてサーバーにはあまり残さなかった(容量的に残せなかった)時代ならいざ知らず。
            WEBメールや複数デバイスでの同期のためにサーバーに全部溜め込むのが当たり前になった現状では、メールアドレスへのアクセスだけでアカウントを奪取できると、使ってるサービスとIDが登録メールから即バレて、被害が拡大するだけでしょ。

            親コメント
            • by Anonymous Coward

              と言うかそこまでのガードが必要なのは金銭が絡むサービスだけだと思うの
              どうでもいい無償のWebサービスや支払い情報を記憶しない商用サービスにまで
              過剰にそういうの求めるところがあるのはどうかと思う

              • by Anonymous Coward

                そういうところが気になって気になって気になって仕方ないガイジもおるんやで

              • by Anonymous Coward

                サービス提供者が今後金銭に絡むサービスを開始する「つもり」というのもあるので難しいんじゃないですかね。

                「秘密の質問」ってのは人に漏らした時点で秘密じゃなくなるんだけど、秘密を共有できる関係(それも一方的)という態度を安易にとる神経が好きになれない。

            • by Anonymous Coward

              そんな重要なサービスに利用しているメアドが乗っ取られた時点で既に詰んでるよ。

            • by Anonymous Coward

              ダメだ。パスワードリセットに本人確認が求められるなら、本人確認をするべきだ。リセット専用固定パスワードは本人確認ではないのだから代用にはならない
              手順がややこしいだから安全だろうというのは突破口を開ける悪手だ。

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...