アカウント名:
パスワード:
- IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。- 受け取りはコンビニでok- お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
その仕様だと、帰省中や長期出張中などにスマホ無くしたときに新しいスマホが買えて便利だったんですよ
> IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。SMS認証必須だと、スマホ無くしているときに新しいスマホが買えない
> 受け取りはコンビニでok契約住所での受け取り必須だと、帰省中や長期出張中など自宅に居ないときに新しいスマホが買えない
> お買い物した通知は、購入時に指定されたメールに届き、本人には届かない通知先がスマホのメールアドレスだと、スマホ無くして
「秘密の質問」なんて実用性がないというのはもはや常識だとおもいましたが、いまだ前世紀の価値観のままなんですねぇ。またIDとパスが漏れてる時点で登録住所と電話番号も漏洩してますから無駄ですね。
> 「秘密の質問」なんて実用性がないというのはもはや常識だとおもいましたが、いまだ前世紀の価値観のままなんですねぇ。「秘密の質問」の答えでパスワードリセットができるのが危険なのであって、「秘密の質問」の答えを追加認証で求めるのは危険ではありませんその区別すらできないんですね
> またIDとパスが漏れてる時点で登録住所と電話番号も漏洩してますから無駄ですね。何言ってるんだろ多くの人はメールアドレスとパスワードを使いまわししているから、それが漏えいしてリスト型攻撃の被害に遭うのですよスラドとか占いとか懸賞サイトとかそういうサイトから漏えいするんです住所や電話番号まで登録しているサイトは通販サイトなどごく一部で、大抵が楽天・ヨドバシ・Amazon・Yahooショッピングあたりの大手なのでそこまで漏えいリスクは高くありません
少なくともそういった情報で追加認証すればリスト型攻撃のリスクは数十分の1になります
「秘密の質問」の答えをサイトごとに変えないと、結局リスト型攻撃でやられるので、今回の攻撃を防ぐ役には立たないのでは?
「秘密の質問」自体が色々パターンがあるので、「秘密の答え」は全てのサイトで共通にはなりません。たまたま漏洩したサイトと同じ秘密の質問でなければ問題ありません。秘密の質問の問題点としては、実名でSNSをやっている場合に答えが推定されてしまうことが挙げられますが、被害者の数を大幅に減らすことはできます。
「秘密の質問」自体が色々パターンがあるので、「秘密の答え」は全てのサイトで共通にはなりません。
パスワードマネージャーでどうにかなるパスワードと違って、サイトごといちいち覚えるの面倒だからすべて同じ答えにしてるわ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
ナニコレ (スコア:2, 参考になる)
- IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
- 受け取りはコンビニでok
- お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
スマホ無くしたときにも買えて便利だったのに (スコア:0)
その仕様だと、帰省中や長期出張中などにスマホ無くしたときに新しいスマホが買えて便利だったんですよ
> IDとパスワードでログインさえすれば、あとは自由に高額なお買い物ができる。
SMS認証必須だと、スマホ無くしているときに新しいスマホが買えない
> 受け取りはコンビニでok
契約住所での受け取り必須だと、帰省中や長期出張中など自宅に居ないときに新しいスマホが買えない
> お買い物した通知は、購入時に指定されたメールに届き、本人には届かない
通知先がスマホのメールアドレスだと、スマホ無くして
Re: (スコア:0)
「秘密の質問」なんて実用性がないというのはもはや常識だとおもいましたが、いまだ前世紀の価値観のままなんですねぇ。
またIDとパスが漏れてる時点で登録住所と電話番号も漏洩してますから無駄ですね。
馬鹿はどっちだろう (スコア:0)
> 「秘密の質問」なんて実用性がないというのはもはや常識だとおもいましたが、いまだ前世紀の価値観のままなんですねぇ。
「秘密の質問」の答えでパスワードリセットができるのが危険なのであって、「秘密の質問」の答えを追加認証で求めるのは危険ではありません
その区別すらできないんですね
> またIDとパスが漏れてる時点で登録住所と電話番号も漏洩してますから無駄ですね。
何言ってるんだろ
多くの人はメールアドレスとパスワードを使いまわししているから、それが漏えいしてリスト型攻撃の被害に遭うのですよ
スラドとか占いとか懸賞サイトとかそういうサイトから漏えいするんです
住所や電話番号まで登録しているサイトは通販サイトなどごく一部で、大抵が楽天・ヨドバシ・Amazon・Yahooショッピングあたりの大手なのでそこまで漏えいリスクは高くありません
少なくともそういった情報で追加認証すればリスト型攻撃のリスクは数十分の1になります
Re:馬鹿はどっちだろう (スコア:0)
「秘密の質問」の答えをサイトごとに変えないと、結局リスト型攻撃でやられるので、今回の攻撃を防ぐ役には立たないのでは?
Re: (スコア:0)
「秘密の質問」自体が色々パターンがあるので、「秘密の答え」は全てのサイトで共通にはなりません。たまたま漏洩したサイトと同じ秘密の質問でなければ問題ありません。
秘密の質問の問題点としては、実名でSNSをやっている場合に答えが推定されてしまうことが挙げられますが、被害者の数を大幅に減らすことはできます。
Re: (スコア:0)
パスワードマネージャーでどうにかなるパスワードと違って、サイトごといちいち覚えるの面倒だからすべて同じ答えにしてるわ