アカウント名:
パスワード:
旅行サイトってそこまで安全性を確保する必要ある?そりゃセキュリティだけの話なら安全性が良いに決まっているけどそれに掛かるコストなどは適当か?今回の「2)」ってのも 難しい=扱いにくい=良いパスワード みたいな内容で付箋やメモで残すようなことを誘発している。あと、パスワード以外の視点も検証しているのかな?IDをどうするかとか、証明書の扱いとか...
全てのサイトがそうかは解りませんが、他のコメントで上がっている高速バスネットの登録内容 [kousokubus.net]に、・氏名・電話番号・クレジット番号があるため、安全性を求める必要はあると思います。
# 話は全く変わりますが、(1)や(2)が満たせてなくとも、# "数回パスワード入力に失敗した場合はアカウントロックや人間確認(reCAPTCHAとか)する"# を課せば、総当たりや辞書攻撃をかなり緩和できると思うのですが、# 安全性の判断には考慮に含める価値はないのでしょうか...
俺もそれがずっと疑問なんだよね。失敗の回数制限を付けない理由ってサポートコストなのかな?
アカウントロックはまずいんじゃないかな?IDは秘匿情報じゃないから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
弱いパスワードでもいいじゃん (スコア:-1)
旅行サイトってそこまで安全性を確保する必要ある?
そりゃセキュリティだけの話なら安全性が良いに決まっているけどそれに掛かるコストなどは適当か?
今回の「2)」ってのも 難しい=扱いにくい=良いパスワード みたいな内容で付箋やメモで残すようなことを誘発している。
あと、パスワード以外の視点も検証しているのかな?IDをどうするかとか、証明書の扱いとか...
Re: (スコア:3, 興味深い)
全てのサイトがそうかは解りませんが、
他のコメントで上がっている高速バスネットの登録内容 [kousokubus.net]に、
・氏名
・電話番号
・クレジット番号
があるため、安全性を求める必要はあると思います。
# 話は全く変わりますが、(1)や(2)が満たせてなくとも、
# "数回パスワード入力に失敗した場合はアカウントロックや人間確認(reCAPTCHAとか)する"
# を課せば、総当たりや辞書攻撃をかなり緩和できると思うのですが、
# 安全性の判断には考慮に含める価値はないのでしょうか...
Re: (スコア:0)
俺もそれがずっと疑問なんだよね。
失敗の回数制限を付けない理由ってサポートコストなのかな?
Re:弱いパスワードでもいいじゃん (スコア:0)
アカウントロックはまずいんじゃないかな?IDは秘匿情報じゃないから。