パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

旅行関連サイトの多くが弱いパスワードを許可しているとの調査結果」記事へのコメント

  • 旅行サイトってそこまで安全性を確保する必要ある?
    そりゃセキュリティだけの話なら安全性が良いに決まっているけどそれに掛かるコストなどは適当か?
    今回の「2)」ってのも 難しい=扱いにくい=良いパスワード みたいな内容で付箋やメモで残すようなことを誘発している。
    あと、パスワード以外の視点も検証しているのかな?IDをどうするかとか、証明書の扱いとか...

    • Re: (スコア:3, 興味深い)

      by Anonymous Coward

      全てのサイトがそうかは解りませんが、
      他のコメントで上がっている高速バスネットの登録内容 [kousokubus.net]に、
      ・氏名
      ・電話番号
      ・クレジット番号
      があるため、安全性を求める必要はあると思います。

      # 話は全く変わりますが、(1)や(2)が満たせてなくとも、
      # "数回パスワード入力に失敗した場合はアカウントロックや人間確認(reCAPTCHAとか)する"
      # を課せば、総当たりや辞書攻撃をかなり緩和できると思うのですが、
      # 安全性の判断には考慮に含める価値はないのでしょうか...

      • by Anonymous Coward on 2018年05月06日 22時25分 (#3403613)

        > ・氏名
        > ・電話番号
        > ・クレジット番号
        > があるため、安全性を求める必要はあると思います。

        それ、ガッチガッチのパスワードが必要? っていう疑問です。
        個人情報保護の御旗を立てれば答えはYesのように思えるけど、クレジットカード番号が後から見に行けるわけではないし(違うなら指摘してね)。
        確認メールが飛ぶなら不正使用されても直ぐに対処できるし。
        氏名や電話番号が漏れたところでそんなに問題あるの?実際? 特定範囲とはいえばらまいている情報なのに。
        そして、今まで漏れた事件は個人のパスワードの脆弱性ってあまり聞かない。管理者側のアカウント管理ミスで大量に漏れた方はよく聞くけどね。

        それよりも高速バスネットについては前のコメントにも書いたけどIDの問題の方が大きいように見える。メールアドレスが使えるところとかが。

        親コメント
        • by Anonymous Coward

          パスワードが漏れるとマズいのは他のサービスでも使い回している可能性が高いことだと思う。
          強度に問題があるパスワードを使っているような人ならなおさら。

          • by Anonymous Coward

            それってパスワードの複雑さと関係ある?
            パスワードが漏れてしまえば複雑さとは関係ないし、強固なセキュリティが必要な場所にはそれなりのパスワードや追加の認証手段をつけるのだし。
            セキュリティレベルが違うのに同じ強度のパスワードを要求したらそれこそ同じパスワード使われる結果になるよ。

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...