アカウント名:
パスワード:
複数の関連性のない単語を入れるとより良いそうだ。
一般には関係ない単語か……
train-linux-install-cd
よし、ばっちりだな!
・パスワードの「ヒント」は許可しない
ついでに、秘密の質問とかいうバックドア強制も辞めてもらえませんかね。秘密でもなんでもない秘密の質問しか選べないの多すぎるし。
仕組み的に考えると。秘密の質問は本当のことを答える必要がありません。「ペットの名前は?」に素直に「ポチ」と答えるのではなく、「今日はラーメンが食べたい」と登録しておけばいいのです。(注:「ポチ」も「今日はラーメンが食べたい」も例示です。)
ペットの名前がポチなのは本人以外も知ることができるので、私のIDが流出した(パスワードは流行してない)時に、わざとパスワードの再発行処理をして、「ペットの名前は?」と聞かれたら、「ポチ」と入力してみれば、他の答えよりも高い確率でアカウントを乗っ取れるでしょう。しかし、「今日はラーメンが食べたい」が正解というのは、他の答えと変わらないくらいの確率でしか当てることができないでしょう。
もちろん、「ペットの名前は?」と聞かれたサイト全部に同じ答えを書いてはいけません。あるサイトでは「今日はうどんが食べたい」、別のサイトでは「昨日はテニスをしました」のように、別々の答えにしておかないと、IDと秘密の質問の答えがセットで流出した時に困ります。
……ってな対策をできる人なら、セキュリティ意識は高いはずなので、パスワードを使い回すようなことはしないはずなんですけどね……。
あれの本来的な趣旨は本人確認の代用なんだよな。免許証と印鑑で口座の暗証がリセットできるだろ?しかし実装が第二パスワード以外の何物でもないから推測不可能にしてメモするしかないんだよなぁ
セキュリティ意識というか、利用方法からサービス提供者の提供情報をどこまで猜疑的に考察できるか(悪くいえば、騙されない、嘘を嘘と見抜ける)スキルが求められるということですよね。
# ソーシャルハッキングという観点なら# セキュリティか...
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
つまりこういう事?&秘密の質問も禁止してほしい (スコア:1)
複数の関連性のない単語を入れるとより良いそうだ。
一般には関係ない単語か……
train-linux-install-cd
よし、ばっちりだな!
・パスワードの「ヒント」は許可しない
ついでに、秘密の質問とかいうバックドア強制も辞めてもらえませんかね。
秘密でもなんでもない秘密の質問しか選べないの多すぎるし。
Re:つまりこういう事?&秘密の質問も禁止してほしい (スコア:0)
仕組み的に考えると。
秘密の質問は本当のことを答える必要がありません。
「ペットの名前は?」に素直に「ポチ」と答えるのではなく、
「今日はラーメンが食べたい」と登録しておけばいいのです。
(注:「ポチ」も「今日はラーメンが食べたい」も例示です。)
ペットの名前がポチなのは本人以外も知ることができるので、
私のIDが流出した(パスワードは流行してない)時に、
わざとパスワードの再発行処理をして、「ペットの名前は?」と聞かれたら、
「ポチ」と入力してみれば、他の答えよりも高い確率でアカウントを乗っ取れるでしょう。
しかし、「今日はラーメンが食べたい」が正解というのは、
他の答えと変わらないくらいの確率でしか当てることができないでしょう。
もちろん、「ペットの名前は?」と聞かれたサイト全部に同じ答えを書いてはいけません。
あるサイトでは「今日はうどんが食べたい」、別のサイトでは「昨日はテニスをしました」のように、
別々の答えにしておかないと、IDと秘密の質問の答えがセットで流出した時に困ります。
……ってな対策をできる人なら、セキュリティ意識は高いはずなので、
パスワードを使い回すようなことはしないはずなんですけどね……。
Re: (スコア:0)
あれの本来的な趣旨は本人確認の代用なんだよな。免許証と印鑑で口座の暗証がリセットできるだろ?
しかし実装が第二パスワード以外の何物でもないから推測不可能にしてメモするしかないんだよなぁ
Re: (スコア:0)
セキュリティ意識というか、利用方法から
サービス提供者の提供情報をどこまで猜疑的に考察できるか
(悪くいえば、騙されない、嘘を嘘と見抜ける)スキルが求められるということですよね。
# ソーシャルハッキングという観点なら
# セキュリティか...