アカウント名:
パスワード:
複数の関連性のない単語を入れるとより良いそうだ。
一般には関係ない単語か……
train-linux-install-cd
よし、ばっちりだな!
・パスワードの「ヒント」は許可しない
ついでに、秘密の質問とかいうバックドア強制も辞めてもらえませんかね。秘密でもなんでもない秘密の質問しか選べないの多すぎるし。
train-linux-install-cdよし、ばっちりだな!
ちょっと短くはないですか?最後に-oliverを追加するとちょうどいい感じですよ。
情報リテラシーとして、秘密の質問は、とち狂ったセキュリティ担当が莫迦なIT会社に作らせた欠陥機能で、漏洩される前提(ハッシュ関数を通しているかすら怪しいし、もし漏洩した際も変更もできないと考えたほうが良い)で、嘘の情報(≒ユニークなパスワード)を入力するように啓蒙すべきだとは思う。
1回設定したら変更できない糞な実装があるんですよね。しかも複数個のペアを要求してくるとかあるので。
仕組み的に考えると。秘密の質問は本当のことを答える必要がありません。「ペットの名前は?」に素直に「ポチ」と答えるのではなく、「今日はラーメンが食べたい」と登録しておけばいいのです。(注:「ポチ」も「今日はラーメンが食べたい」も例示です。)
ペットの名前がポチなのは本人以外も知ることができるので、私のIDが流出した(パスワードは流行してない)時に、わざとパスワードの再発行処理をして、「ペットの名前は?」と聞かれたら、「ポチ」と入力してみれば、他の答えよりも高い確率でアカウントを乗っ取れるでしょう。しかし、「今日はラーメンが食べたい」が
あれの本来的な趣旨は本人確認の代用なんだよな。免許証と印鑑で口座の暗証がリセットできるだろ?しかし実装が第二パスワード以外の何物でもないから推測不可能にしてメモするしかないんだよなぁ
セキュリティ意識というか、利用方法からサービス提供者の提供情報をどこまで猜疑的に考察できるか(悪くいえば、騙されない、嘘を嘘と見抜ける)スキルが求められるということですよね。
# ソーシャルハッキングという観点なら# セキュリティか...
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
つまりこういう事?&秘密の質問も禁止してほしい (スコア:1)
複数の関連性のない単語を入れるとより良いそうだ。
一般には関係ない単語か……
train-linux-install-cd
よし、ばっちりだな!
・パスワードの「ヒント」は許可しない
ついでに、秘密の質問とかいうバックドア強制も辞めてもらえませんかね。
秘密でもなんでもない秘密の質問しか選べないの多すぎるし。
Re:つまりこういう事?&秘密の質問も禁止してほしい (スコア:1)
ちょっと短くはないですか?
最後に-oliverを追加するとちょうどいい感じですよ。
Re: (スコア:0)
質問の内容と関係ない文字列を入力
Re: (スコア:0)
情報リテラシーとして、
秘密の質問は、とち狂ったセキュリティ担当が莫迦なIT会社に作らせた欠陥機能で、
漏洩される前提(ハッシュ関数を通しているかすら怪しいし、もし漏洩した際も
変更もできないと考えたほうが良い)で、嘘の情報(≒ユニークなパスワード)を
入力するように啓蒙すべきだとは思う。
Re: (スコア:0)
1回設定したら変更できない糞な実装があるんですよね。
しかも複数個のペアを要求してくるとかあるので。
Re: (スコア:0)
仕組み的に考えると。
秘密の質問は本当のことを答える必要がありません。
「ペットの名前は?」に素直に「ポチ」と答えるのではなく、
「今日はラーメンが食べたい」と登録しておけばいいのです。
(注:「ポチ」も「今日はラーメンが食べたい」も例示です。)
ペットの名前がポチなのは本人以外も知ることができるので、
私のIDが流出した(パスワードは流行してない)時に、
わざとパスワードの再発行処理をして、「ペットの名前は?」と聞かれたら、
「ポチ」と入力してみれば、他の答えよりも高い確率でアカウントを乗っ取れるでしょう。
しかし、「今日はラーメンが食べたい」が
Re: (スコア:0)
あれの本来的な趣旨は本人確認の代用なんだよな。免許証と印鑑で口座の暗証がリセットできるだろ?
しかし実装が第二パスワード以外の何物でもないから推測不可能にしてメモするしかないんだよなぁ
Re: (スコア:0)
セキュリティ意識というか、利用方法から
サービス提供者の提供情報をどこまで猜疑的に考察できるか
(悪くいえば、騙されない、嘘を嘘と見抜ける)スキルが求められるということですよね。
# ソーシャルハッキングという観点なら
# セキュリティか...