パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ヤマト運輸のクロネコメンバーズサイトに不正アクセス、リスト型攻撃で情報漏洩」記事へのコメント

  • 定期的なパスワードの変更は不要ってのが最近の定説なのに
    それをユーザーに押し付けているあたり、結局ダメダメな感じ。
    • by Anonymous Coward

      定期的にパスワードを変更しようがしまいが、複数のサービスで使い回したら駄目ってのが前提にある。

      それを遵守するためには何かしらのパスワード管理ツールが必要なんだけど、困ったことに頭の固い日本の企業はその手のツールを許可しない。ついでに言うなら個人に対する啓蒙も不足してる。
      本来、糾弾されるべきはこの辺の駄目さであって、パスワードを使い回す人じゃないと思うんだよなぁ。

      「複数のサービスでパスワードを使い回さず、かつそれぞれに十分の強度のパスワードを設定して記憶しておく」なんて人間業じゃないからね。できる人もいるかもしれないが、少なくとも一般人に求めるものじゃないし。

      • by Anonymous Coward on 2019年07月27日 1時08分 (#3659144)

        「パスワードは、それを送った先のサービス運営者が覗きうるものなのだ」という前提を啓蒙してしまった方がいいのかも。
        故に、その個人情報を使ってそのユーザーが利用している別のサービスを悪意の運営者が不正利用する事は「当然」発生する事態である。
        だから、パスワードを使い回してはならないのだ、と。

        Yahooのパスワード不要ログインはまだ野心的な試みだと思うけど、
        パスワード定期変更は不要だ、いややっぱり必要だという議論はパスワード認証が本質的に抱えている脆弱さから生まれるもので、
        ユーザーにより安全なログインを提供するという目的での最終到達点は
        「パスワードを変更しない」ではなく「パスワード認証はやめる」なのだと思う。
        定期変更強制をやめる方策は脆弱な文字列への変更を防止するための苦肉の策だが、使い回しは同様に脆弱であり、
        パスワード認証というシステムはそれを阻止する具体的対策を提示できない。

        パスワード管理ツールという解はある意味素のパスワード認証よりも一歩次のステージに進んだものとも考えられる。
        パス「ワード」という言葉には暗に人間がそれを覚えておくというニュアンスが含まれていた、少なくともそれが考案された当時は。
        しかし管理ツールを使うユーザーはもはやそのワードを覚えておらず、記憶する気のない程度に複雑なキーを用いていることだろう。
        この状態は、パスワード認証の脆弱性をある程度克服したものと言える。

        親コメント
        • by Anonymous Coward

          LastPassみたいに、サービス停止時には何一つログインすらできなくなるわけですか。
          ご愁傷様。

          • by Anonymous Coward

            典型的な人だな、この問題から何も学ぼうとしない。
            ただただ己の認知している方式を変えたくないだけで、同様の事態を何度も繰り返すことを何ら気に留めていない。

            • by Anonymous Coward

              あなたが学ぶべきことは、言葉で非難しても相手は行動を変えることはないってことだ。単に留飲を下げたいだけならそれでもいいが、本当に状況を変えたいと思っているのなら、他の方法をとるべきだったね。

              • by Anonymous Coward

                大切なお客様ならともかく、

                LastPassみたいに、サービス停止時には何一つログインすらできなくなるわけですか。
                ご愁傷様。

                これに暖かい声を掛けてやる程優しくはなれないね。
                ご愁傷様。

          • by Anonymous Coward

            こんな話もあったね→トレンドマイクロのパスワード管理ツールにパスワードを盗まれ遠隔操作される脆弱性(2016年) [gigazine.net]。

            今はまだ、パスワード管理ツールの信用は担保されてない時代と言える。
            それに、少なくともトラブル起こした会社のは使えねーわ。

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...