アカウント名:
パスワード:
直ちに修正せよ。
「仮パスワード」はなぜ使い続けてはだめなのか?という話と同じですね。
簡単に言うと、「仮パスワード」は「発行したもの」という扱いになります。サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため、「サービス側は永遠に生パスワードを残さなければならない」ことを意味します。ユーザー側が受け取ってない!覚えられなかった!となる可能性があるためです。
それと、サービス側が発行したパスワードがたまたま不快な単語を含む場合…例えば「FxckYou」とか…、ユーザーは拒否できるようにしなければなりません。何を不快に感じるかは人それぞれなので、どんなにランダムに見えても、この文字列は侮辱だ、厳重に管理できない、と主張されたら、対応せざるを得ません。電話番号とかで出前の電話と類似したために、間違い電話がかかってくる場合、変更してくれる、というケースと同じ話です。これらは倫理・人権の問題になるので、サービス側の都合で決め打ちしたり、利用規約で縛り切れるものではありません。
なので、パスワードでない公開鍵認証で、同じ目的のことが実現されています。例えば、FIDO認証は、クライアント側で鍵を作りますが、それはユーザー抜きにランダムなパスワードを生成してるのと同じことです。パスワードとは異なり、ユーザーは鍵となる文字列ではなく、証明書というデータファイルを管理し、その管理のための「ユーザーが厳重に管理しなければならない情報」である指紋なりPINパスワードなりを、好きに設定できる形になっています。
簡単に~、と言いつつ長くなったけど、まとめると、「(サーバー側の)パスワードを自分で設定できる脆弱性」を突き詰めると、パスワードという考え方自体に問題があるため、対策にはパスワードレスのFIDO認証やクライアント証明書みたいなものが必要、ということになります。
> サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため
こんなことを規定している法律なんてありましたか?それとも内輪のオレオレルールですか?
暗証番号紛失時、サービス側の過失を問われたときに裁判で負けたくなければ、証跡を残すしかないよ。
例えば、免許証の暗証番号が印刷されるのも、同じ理由。
補足:万が一、免許証の暗証番号が警察のミスで正しく設定されていなかった場合、印刷された暗証番号は、警察の過失を問う重要な証拠となります。
警察がなぜ、自分たちの過失を問うための証拠を残す必要があるの?「サービス側の過失を問われたときに裁判で負けたくなければ、」はこの場合のサービス側は警察だよね?
あと印刷はしても、暗証番号は設定されていない場合があったとして、印刷された暗証番号はサービス側の何の役に立つの?
免許証の場合、暗証番号が正しく設定されているかどうかは、確認してね、と言われて、端末で確認したような。
つまりオレオレルールの押し付けですね。あなたのルールより、利用者の安全のほうが大事だと、私は考えます。
>利用者の安全のほうが大事だと、私は考えます。それもオレオレルールじゃないか。
#その辺りは単純なコスト問題に帰結する
サービス側がパスワードを作るなら、ユーザーがパスワードを受け取るまでの間は、サービス側にそのパスワードを管理する責任が生じるでしょう。これは、ユーザー側がパスワードを決める場合に、ユーザーがパスワードを管理する責任を負う契約文が有効であることの裏返しです。
クレジットカードの更新の際に、転送不要や簡易書留にしている会社があることと同じです。これは、ユーザーが受け取るまで、そのクレジットカードの盗難・紛失に関する責任は、サービス会社側にあるからです。それが、発行した側の責任です。これは、パスワードでも同じです。パスワードを受け取るまでの
あなたの言い分だと、発行したワンタイムパスワードも記録しておくことになりますね。そんなこと必要ですか?本当にそれが安全に結びつきますか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:0)
直ちに修正せよ。
Re:ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:2, 興味深い)
「仮パスワード」はなぜ使い続けてはだめなのか?という話と同じですね。
簡単に言うと、「仮パスワード」は「発行したもの」という扱いになります。
サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため、
「サービス側は永遠に生パスワードを残さなければならない」ことを意味します。
ユーザー側が受け取ってない!覚えられなかった!となる可能性があるためです。
それと、サービス側が発行したパスワードがたまたま不快な単語を含む場合
…例えば「FxckYou」とか…、ユーザーは拒否できるようにしなければなりません。
何を不快に感じるかは人それぞれなので、どんなにランダムに見えても、
この文字列は侮辱だ、厳重に管理できない、と主張されたら、対応せざるを得ません。
電話番号とかで出前の電話と類似したために、間違い電話がかかってくる場合、
変更してくれる、というケースと同じ話です。
これらは倫理・人権の問題になるので、サービス側の都合で決め打ちしたり、
利用規約で縛り切れるものではありません。
なので、
パスワードでない公開鍵認証で、同じ目的のことが実現されています。
例えば、FIDO認証は、クライアント側で鍵を作りますが、
それはユーザー抜きにランダムなパスワードを生成してるのと同じことです。
パスワードとは異なり、ユーザーは鍵となる文字列ではなく、証明書という
データファイルを管理し、その管理のための「ユーザーが厳重に管理しなけ
ればならない情報」である指紋なりPINパスワードなりを、好きに設定できる
形になっています。
簡単に~、と言いつつ長くなったけど、まとめると、
「(サーバー側の)パスワードを自分で設定できる脆弱性」を突き詰めると、
パスワードという考え方自体に問題があるため、対策にはパスワードレスの
FIDO認証やクライアント証明書みたいなものが必要、ということになります。
Re: (スコア:0)
> サービス側がユーザーに何かを発行した場合は、その証跡を残さねばならないため
こんなことを規定している法律なんてありましたか?
それとも内輪のオレオレルールですか?
Re:ユーザーがパスワードを自分で設定できることが脆弱性 (スコア:1)
暗証番号紛失時、
サービス側の過失を問われたときに裁判で負けたくなければ、
証跡を残すしかないよ。
例えば、免許証の暗証番号が印刷されるのも、同じ理由。
Re: (スコア:0)
補足:万が一、免許証の暗証番号が警察のミスで正しく設定されていなかった場合、印刷された暗証番号は、警察の過失を問う重要な証拠となります。
Re: (スコア:0)
警察がなぜ、自分たちの過失を問うための証拠を残す必要があるの?
「サービス側の過失を問われたときに裁判で負けたくなければ、」はこの場合のサービス側は警察だよね?
あと印刷はしても、暗証番号は設定されていない場合があったとして、印刷された暗証番号はサービス側の何の役に立つの?
免許証の場合、暗証番号が正しく設定されているかどうかは、確認してね、と言われて、端末で確認したような。
Re: (スコア:0)
つまりオレオレルールの押し付けですね。
あなたのルールより、利用者の安全のほうが大事だと、私は考えます。
Re: (スコア:0)
>利用者の安全のほうが大事だと、私は考えます。
それもオレオレルールじゃないか。
#その辺りは単純なコスト問題に帰結する
Re: (スコア:0)
サービス側がパスワードを作るなら、ユーザーがパスワードを受け取るまでの間は、サービス側にそのパスワードを管理する責任が生じるでしょう。
これは、ユーザー側がパスワードを決める場合に、ユーザーがパスワードを管理する責任を負う契約文が有効であることの裏返しです。
クレジットカードの更新の際に、転送不要や簡易書留にしている会社があることと同じです。
これは、ユーザーが受け取るまで、そのクレジットカードの盗難・紛失に関する責任は、サービス会社側にあるからです。
それが、発行した側の責任です。
これは、パスワードでも同じです。
パスワードを受け取るまでの
Re: (スコア:0)
あなたの言い分だと、発行したワンタイムパスワードも記録しておくことになりますね。
そんなこと必要ですか?
本当にそれが安全に結びつきますか?