アカウント名:
パスワード:
旅行サイトってそこまで安全性を確保する必要ある?そりゃセキュリティだけの話なら安全性が良いに決まっているけどそれに掛かるコストなどは適当か?今回の「2)」ってのも 難しい=扱いにくい=良いパスワード みたいな内容で付箋やメモで残すようなことを誘発している。あと、パスワード以外の視点も検証しているのかな?IDをどうするかとか、証明書の扱いとか...
全てのサイトがそうかは解りませんが、他のコメントで上がっている高速バスネットの登録内容 [kousokubus.net]に、・氏名・電話番号・クレジット番号があるため、安全性を求める必要はあると思います。
# 話は全く変わりますが、(1)や(2)が満たせてなくとも、# "数回パスワード入力に失敗した場合はアカウントロックや人間確認(reCAPTCHAとか)する"# を課せば、総当たりや辞書攻撃をかなり緩和できると思うのですが、# 安全性の判断には考慮に含める価値はないのでしょうか...
> ・氏名> ・電話番号> ・クレジット番号> があるため、安全性を求める必要はあると思います。
それ、ガッチガッチのパスワードが必要? っていう疑問です。個人情報保護の御旗を立てれば答えはYesのように思えるけど、クレジットカード番号が後から見に行けるわけではないし(違うなら指摘してね)。確認メールが飛ぶなら不正使用されても直ぐに対処できるし。氏名や電話番号が漏れたところでそんなに問題あるの?実際? 特定範囲とはいえばらまいている情報なのに。そして、今まで漏れた事件は個人のパスワードの脆弱性ってあまり聞かない。管理者側のアカウント管理ミスで大量に漏れた方はよく聞くけどね。
それよりも高速バスネットについては前のコメントにも書いたけどIDの問題の方が大きいように見える。メールアドレスが使えるところとかが。
パスワードが漏れるとマズいのは他のサービスでも使い回している可能性が高いことだと思う。強度に問題があるパスワードを使っているような人ならなおさら。
それってパスワードの複雑さと関係ある?パスワードが漏れてしまえば複雑さとは関係ないし、強固なセキュリティが必要な場所にはそれなりのパスワードや追加の認証手段をつけるのだし。セキュリティレベルが違うのに同じ強度のパスワードを要求したらそれこそ同じパスワード使われる結果になるよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
弱いパスワードでもいいじゃん (スコア:-1)
旅行サイトってそこまで安全性を確保する必要ある?
そりゃセキュリティだけの話なら安全性が良いに決まっているけどそれに掛かるコストなどは適当か?
今回の「2)」ってのも 難しい=扱いにくい=良いパスワード みたいな内容で付箋やメモで残すようなことを誘発している。
あと、パスワード以外の視点も検証しているのかな?IDをどうするかとか、証明書の扱いとか...
Re: (スコア:3, 興味深い)
全てのサイトがそうかは解りませんが、
他のコメントで上がっている高速バスネットの登録内容 [kousokubus.net]に、
・氏名
・電話番号
・クレジット番号
があるため、安全性を求める必要はあると思います。
# 話は全く変わりますが、(1)や(2)が満たせてなくとも、
# "数回パスワード入力に失敗した場合はアカウントロックや人間確認(reCAPTCHAとか)する"
# を課せば、総当たりや辞書攻撃をかなり緩和できると思うのですが、
# 安全性の判断には考慮に含める価値はないのでしょうか...
Re:弱いパスワードでもいいじゃん (スコア:0)
> ・氏名
> ・電話番号
> ・クレジット番号
> があるため、安全性を求める必要はあると思います。
それ、ガッチガッチのパスワードが必要? っていう疑問です。
個人情報保護の御旗を立てれば答えはYesのように思えるけど、クレジットカード番号が後から見に行けるわけではないし(違うなら指摘してね)。
確認メールが飛ぶなら不正使用されても直ぐに対処できるし。
氏名や電話番号が漏れたところでそんなに問題あるの?実際? 特定範囲とはいえばらまいている情報なのに。
そして、今まで漏れた事件は個人のパスワードの脆弱性ってあまり聞かない。管理者側のアカウント管理ミスで大量に漏れた方はよく聞くけどね。
それよりも高速バスネットについては前のコメントにも書いたけどIDの問題の方が大きいように見える。メールアドレスが使えるところとかが。
Re: (スコア:0)
パスワードが漏れるとマズいのは他のサービスでも使い回している可能性が高いことだと思う。
強度に問題があるパスワードを使っているような人ならなおさら。
Re: (スコア:0)
それってパスワードの複雑さと関係ある?
パスワードが漏れてしまえば複雑さとは関係ないし、強固なセキュリティが必要な場所にはそれなりのパスワードや追加の認証手段をつけるのだし。
セキュリティレベルが違うのに同じ強度のパスワードを要求したらそれこそ同じパスワード使われる結果になるよ。