アカウント名:
パスワード:
よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけどパスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強そして生体認証でショルダーハッキング対策すれば完璧
ランダムで強度の高いパスワードを使う必要があったのは、多要素認証が無くパスワードに依存していた時代。
今のみずほ銀行だったら、振込機能の悪用には
(1) お客さま番号 (≠口座番号) … 知識情報 または 所持情報 (書かれているカードがあるため)(2) いつもと違う環境からのログインの場合、秘密の質問の答え1 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)(3) いつもと違う環境からのログインの場合、秘密の質問の答え2 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)(4) ログインパスワード … 知識情報(5) ハードウェアトークンのテンキーに振込先口座番号を入力して生成するタイムベースのHMAC (トークンを使用している場合) … 所持情報
の5つがいる。
例えば、上記のみずほ銀行のサービスの場合、インターネット経由での悪意のある人物による不正振り込みはハードウェアトークンに口座番号を入力できない時点で不可能なので、そもそもオンライン攻撃を防ぐためにパスワード強度を高める必要はまったくない。
(5) で所持認証は既になされているので、ログインパスワードを記憶せずに、ログインパスワードの強度を上げて端末に保存させれば、せっかくの多要素認証が「所持情報」だけになってかえって強度が低下してしまう。
例えば、家に侵入した泥棒や家族が振込機能を悪用しようとしたとき、それを確実に防ぐにはログインパスワードを「知識情報」として使用するしかない。多要素認証があるサービスでは、例え強度を犠牲にしても、ログインパスワードは記憶すべきだ。
パスワードを端末に保存させた時点で、「知識情報」が「所持情報」に変化するので、多要素認証ですらなくなることを認識すべき。
※なお、いまだに多要素認証に糞サービスならば、強度の高いランダムパスワードをブラウザ等に保存するのが良いだろう。
暗記して手入力する行為に慣れている方がフィッシング詐欺に利用されやすいっていう理論だと思います。
付箋に貼ってあるから大丈夫!
# ユーザーは斜め上が常である
秘密の質問って、友人とか近親者に対しては秘密じゃないし、SNSとかの情報から類推できたりするので信用してない。結局、ランダムに生成した文字列をログインパスワードとかと一緒にパスワードマネージャーに覚えさせてる。(もちろん、パスワードマネージャーのパスワードは頭の中にしか置いていない)
秘密の質問は、不特定の口座番号やお客様番号を手当たり次第にアタックされることを防ぐ程度のもの。
例えば、パスワードを固定し、リバースブルートフォースをしようとした場合、秘密の質問で阻まれる。それだけのためにパスワードのような他人が推測できない文字列を設定する意味はない。
そんなところに労力を使うより、パスワードの強度を上げるほうが利便性の面でもセキュリティの面でもマシだと思うよ。
「多要素と言えなくなる」という原理主義的にはそうだとしても現実には「暗記したパスワード」が突破されるケースが一番多いって事実があるよねこれはどうして無視していいことになるのかな
わざわざ強調していて重要と考えているところ恐縮だけども「もうパスワードなんていらないよね?」の方向にセキュリティ業界は進んでいます"パスワードレス認証" のキーワードをもしご存じなければご一考ください
頭いいこと言っているつもりなんだろうけど、"パスワードレス認証" っていうのは、ログイントークンや公開鍵認証の秘密鍵を端末に保存することを前提としており(「所持情報」に該当)、その上でローカル認証の PIN(知識情報)や 指静脈認証等 (生体情報) を組み合わせることをセキュリティ上推奨している。
サーバに送信するパスワードでも、ローカル認証のPINでも、多要素認証を考える上での知識情報に該当するのは同じこと。
要出典:100000000万倍多い
ブラウザにパスワード管理機能があるなら、そちらを優先して使用した方が良い。入力されるパスワードとドメインやURIが関連付けられているのでフィッシングに強くなる。
ブラウザに記憶させたら、寝ている間にスマホの指紋認証突破されたり探偵にグミ指で指紋認証突破されたりして身内に情報盗み取られるなどうもセキュリティオタクって独身が多いせいか同居者に悪用されるケースを全然考えていない人が多すぎる実際はクレカの不正利用などの金融犯罪でも同居者・家族・親族が圧倒的多数だってのに
そういうことできる時点で、パスワード管理ツールの問題じゃないっての。別のセキュリティソリューション導入しろ。
パスワード覚えて毎回ログアウトするだけでいいんですけどねぇそれを「セキュリティソリューション」とは大げさな
ぜんぜん覚えられない
パスワード覚えられない人って、漢字も書けなそう常用漢字半分ぐらいしか書けなそう
脳トレだと思ってパスワードぐらい覚える訓練した方が良いよ
デスクトップとノーパソ三台程度のログインパスワードパスワード管理ツールのパスワード管理ツールに入れづらいパスワード3行の銀行口座の暗証番号クレカ2枚のPIN番号
これでトータル10件くらいなら覚えられそうただし長いのは2件分・3件分カウントになりそう
老害はネットしないからそれで済むんだろうけど、一般人は数年で数百個くらいアカウント使い捨てるからね
使い捨てるようなアカウントのパスワードなんて使いまわしでいいのでは
例えばスラドのパスワードとかね
オンラインショップのアカウントだけでも結構あるからねドコモ口座とか7payのように勝手に課金機能や個人情報関連が追加されること考えたら使い回しはあり得ない
おまえは64文字〜100文字のパスワードを毎回覚えてるのか?すごいね
64文字〜100文字にする必要性自体無いんだけどね仮にランダムな英数字だとしたら6文字超えたあたりからオンライン攻撃での突破は不可能になり10文字を超えたあたりからパスワードハッシュが漏洩したときのローカル攻撃までも不可能になる
100文字とかいってるけどbcryptの72文字制限のせいで長すぎるパスワードはかえって脆弱になる恐れがあることを分かっているんだろうかhttps://blog.tokumaru.org/2019/02/caution-bcrypt-with-sha512.html [tokumaru.org]
そこまでアカウントを使い捨ててるような奴は一般人とは呼べねーよアホか
お前が今まで食ったパスワードの数を数えろ
スマホ乗っ取られてる時点で基本的にはアウトだよ。メールやSMS見るのにパスワードが要るならまだ助かるかもしれないけど、そうでなきゃ大半のサービスはパスワードリセットできる。そもそも身内を攻撃者と想定するなら、スマホを操作されること自体が重大なリスク。個別のWebサービスよりスマホのロック解除対策しないとセキュリティなんて絵に描いた餅でしかない。
フィッシング対策協議会としてはフィッシング被害でなればソーシャルクラッキングで被害を受けようとも問題無いのです!!
指紋認証、あれはダメですわスマホだとある程度の間隔でパスワードを要求されるとは言え、寝ている時に使われる事を防止できない割とある話だと、配偶者などがスマホのロックを解除してというパターンをよく聞きますが妹の家庭では、妹がリビングでTV見ながら寝てしまった時子どもにiPhoneを指紋でロック解除された後ソシャゲの課金を指紋で承認させられたとのこと家の中で限定で古いiPhoneで許可した時間のみ使わせていて、誕生日とかだけ少額課金していたのに満足できず犯行に走った模様お使いの時こそっと物理ガチャ1回ずつ回してた私と妹の子ども自体とは(しかもバレてた)、同じガチャ回すにしても時代が変わったものです
まあそのパターンならパスワード管理ツール使っても同じこと。
瞬き必須の顔認証でもすれば
パスワード管理ツールは関係ないな。指紋認証やめろ
先般redditで話題になっていたこの表を見てhttps://www.reddit.com/r/dataisbeautiful/comments/ihpo84/oc_i_hope_you... [reddit.com]アルファベット+数字+スペース程度でも十分に長い文字列であればそれでよい英数大小記号ランダムであっても8文字程度では不十分と考えを改めるに至った
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強
コピペできず手入力させられたり、口頭で伝えさせられたり、記号や文字数で動作不良を起こしたりするので、安易にこれをやると後々面倒になる。
警察に家宅捜索or任意の捜査に協力して「パスワード管理ソフト」が入ったパソコン押収されたら、自分のアカウントにすらログインできなくなるよ押収されたパソコンはいつ帰ってくるか分からないし全てのアカウントを失うことになる
受験勉強で無意味に思えるような文字列、例えば歴史の年号とか人名・国名を何百と暗記した記憶あるだろ?ほんとに重要なパスワードなんてせいぜい20か30しかないんだから、それぐらい十分な強度を持つものを暗記すれば良い
それに暗記したパスワードは「黙秘」するだけでなく、「忘れた」ことにもできるし、逮捕されて何日も打ち込んでないと強度の高いパスワードは忘れないように頭の中で打ち込む努力をしないだけで本当に忘れるので、忘れるか忘れないかを自分の意思でコントロールできるというメリットもある
パスワード管理ソフトのファイルなりをバックアップ、あるいは多重化しとけよ
警察なめない方がいいよパソコン・スマホ・外付けHDD・USBメモリどころか、ルータやスイッチングハブまで電子機器まるごと押収するから(というか何だか区別できない人が押収しているだけかも)パスワードを書き留めた紙・手帳なんかも見つかったら押収される
じゃあ司法権の及ばない東欧のクラウドとかに置いとけば
パスワード管理ソフトのデータベースをパスワードで暗号化してクラウドに保管しとけというか普通はそうなってるぞ
無限ループですな
暗号化のパスフレーズとクラウドサービスのパスワードは覚えていられるのか?普段からパスワード管理ツール使う生活していて頭使っていないと、普段使っていないパスワードなんて忘れちゃうんじゃないかな
それとGoogleドライブとかだと普段と違う端末からだと「いつもと違う環境です」とか言われてSMS認証要求されたりするがスマホ押収されているとログインできなくなる
ブラウザの共有機能を暗号化したら、パスワード忘れて復元できなくなったのが私です。
よっぽどパスワード管理ソフトの主流化が悔しいと見える
警察に家宅捜索or任意の捜査に協力して「パスワード管理ソフト」が入ったパソコン押収されたら、自分のアカウントにすらログインできなくなるよ
そんなもんパソコン壊れたって発生する話なんだから、バックアップしろや。
ほんとに重要なパスワードなんてせいぜい20か30しかないんだから、それぐらい十分な強度を持つものを暗記すれば良い
20も30も覚えられねーよ。
※私は KeePass Password Safe 2 と Kee on Firefox 利用派。
20も30も覚えてるもんなのかね自分で覚えてるのは4つぐらいだなぁ
それはつまり毎日、長くて週に20も30もログインするって事ですかすげえなぁ
Yubikey複数枚設定して分散して保管しろ
それって理屈じゃなくて「なんとなく」の感覚的な問題だと思うんだよな。飛行機って事故の確率を考えたら極めて安全な乗り物なのに「落ちたら怖い」って乗れない奴がその1万倍以上は危険な高速バスには平気で乗るみたいな。
パスワード記憶だって「なんとなく危険」って根拠レスの考え方でGPOで禁止してる情シス多いじゃん。毎回手入力させたら「なんとなく安全なことやってる感」があるだけの自己満足しかない話だけど、そんな環境に慣れたユーザはフィッシングサイト踏んでもパスワード入れるだろうなw
飛行機が怖いのは危険だからじゃなくて、高いからだから……。バスもすぐ横が崖みたいな道を走ってる間は怖くて仕方ないよ。飛行機怖がるやつもバスは平気ってのは正しくないよ、走る道によるよ。
各銀行やクレカの約款やら注意事項見てみパスワードを管理ツールやクラウドサービスに保存したり書き留めるなと書かれているから
オレが考えた最強のセキュリティを実践すると不正利用されたとき補償が効かなくなって痛い目に遭うぞ
管理ツールからの流出ならそうだろうけど裁判でそういう規約が有効と判断される保証はないよ
今日久々に迷惑メールボックスを見たら、adobeがお漏らしした時に使ってたパスワードが件名になってるメールが届いてました 英語読めないんでサラッと見た感じビットコインで1万ドルをワイに払えや😎ってメールだったんで即削除しましたけど、やっぱり当時漏れたID/Passはまだどっかで漂ってるんですね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
パスワード管理ソフトを使え (スコア:0)
よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけど
パスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い
特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強
そして生体認証でショルダーハッキング対策すれば完璧
時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:3, 興味深い)
ランダムで強度の高いパスワードを使う必要があったのは、多要素認証が無くパスワードに依存していた時代。
今のみずほ銀行だったら、振込機能の悪用には
(1) お客さま番号 (≠口座番号) … 知識情報 または 所持情報 (書かれているカードがあるため)
(2) いつもと違う環境からのログインの場合、秘密の質問の答え1 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
(3) いつもと違う環境からのログインの場合、秘密の質問の答え2 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
(4) ログインパスワード … 知識情報
(5) ハードウェアトークンのテンキーに振込先口座番号を入力して生成するタイムベースのHMAC (トークンを使用している場合) … 所持情報
の5つがいる。
例えば、上記のみずほ銀行のサービスの場合、インターネット経由での悪意のある人物による不正振り込みはハードウェアトークンに口座番号を入力できない時点で不可能なので、そもそもオンライン攻撃を防ぐためにパスワード強度を高める必要はまったくない。
(5) で所持認証は既になされているので、ログインパスワードを記憶せずに、ログインパスワードの強度を上げて端末に保存させれば、せっかくの多要素認証が「所持情報」だけになってかえって強度が低下してしまう。
例えば、家に侵入した泥棒や家族が振込機能を悪用しようとしたとき、それを確実に防ぐにはログインパスワードを「知識情報」として使用するしかない。
多要素認証があるサービスでは、例え強度を犠牲にしても、ログインパスワードは記憶すべきだ。
パスワードを端末に保存させた時点で、「知識情報」が「所持情報」に変化するので、多要素認証ですらなくなることを認識すべき。
※なお、いまだに多要素認証に糞サービスならば、強度の高いランダムパスワードをブラウザ等に保存するのが良いだろう。
Re:時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:1)
暗記して手入力する行為に慣れている方がフィッシング詐欺に利用されやすいっていう理論だと思います。
Re: (スコア:0)
暗記して手入力する行為に慣れている方がフィッシング詐欺に利用されやすいっていう理論だと思います。
付箋に貼ってあるから大丈夫!
# ユーザーは斜め上が常である
Re: (スコア:0)
秘密の質問って、友人とか近親者に対しては秘密じゃないし、SNSとかの情報から類推できたりするので信用してない。
結局、ランダムに生成した文字列をログインパスワードとかと一緒にパスワードマネージャーに覚えさせてる。
(もちろん、パスワードマネージャーのパスワードは頭の中にしか置いていない)
Re: (スコア:0)
秘密の質問は、不特定の口座番号やお客様番号を手当たり次第にアタックされることを防ぐ程度のもの。
例えば、パスワードを固定し、リバースブルートフォースをしようとした場合、秘密の質問で阻まれる。それだけのためにパスワードのような他人が推測できない文字列を設定する意味はない。
そんなところに労力を使うより、パスワードの強度を上げるほうが利便性の面でもセキュリティの面でもマシだと思うよ。
Re: (スコア:0)
「多要素と言えなくなる」という原理主義的にはそうだとしても
現実には「暗記したパスワード」が突破されるケースが一番多いって事実があるよね
これはどうして無視していいことになるのかな
Re: (スコア:0)
わざわざ強調していて重要と考えているところ恐縮だけども
「もうパスワードなんていらないよね?」
の方向にセキュリティ業界は進んでいます
"パスワードレス認証" のキーワードをもしご存じなければご一考ください
Re:時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:1)
頭いいこと言っているつもりなんだろうけど、"パスワードレス認証" っていうのは、ログイントークンや公開鍵認証の秘密鍵を端末に保存することを前提としており(「所持情報」に該当)、
その上でローカル認証の PIN(知識情報)や 指静脈認証等 (生体情報) を組み合わせることをセキュリティ上推奨している。
サーバに送信するパスワードでも、ローカル認証のPINでも、多要素認証を考える上での知識情報に該当するのは同じこと。
Re:パスワード管理ソフトを使え (スコア:1)
要出典:100000000万倍多い
Re:パスワード管理ソフトを使え (スコア:1)
ブラウザにパスワード管理機能があるなら、そちらを優先して使用した方が良い。
入力されるパスワードとドメインやURIが関連付けられているのでフィッシングに強くなる。
実際の悪用って身内が多いんだけどねぇ (スコア:0)
ブラウザに記憶させたら、寝ている間にスマホの指紋認証突破されたり探偵にグミ指で指紋認証突破されたりして身内に情報盗み取られるな
どうもセキュリティオタクって独身が多いせいか同居者に悪用されるケースを全然考えていない人が多すぎる
実際はクレカの不正利用などの金融犯罪でも同居者・家族・親族が圧倒的多数だってのに
Re: (スコア:0)
そういうことできる時点で、パスワード管理ツールの問題じゃないっての。
別のセキュリティソリューション導入しろ。
ただパスワード覚えるだけなんですけど (スコア:0)
パスワード覚えて毎回ログアウトするだけでいいんですけどねぇ
それを「セキュリティソリューション」とは大げさな
Re: (スコア:0)
ぜんぜん覚えられない
使わないから脳が劣化しているんだろうな (スコア:0)
パスワード覚えられない人って、漢字も書けなそう
常用漢字半分ぐらいしか書けなそう
脳トレだと思ってパスワードぐらい覚える訓練した方が良いよ
Re: (スコア:0)
デスクトップとノーパソ三台程度のログインパスワード
パスワード管理ツールのパスワード
管理ツールに入れづらいパスワード
3行の銀行口座の暗証番号
クレカ2枚のPIN番号
これでトータル10件くらいなら覚えられそう
ただし長いのは2件分・3件分カウントになりそう
Re: (スコア:0)
老害はネットしないからそれで済むんだろうけど、一般人は数年で数百個くらいアカウント使い捨てるからね
Re: (スコア:0)
使い捨てるようなアカウントのパスワードなんて使いまわしでいいのでは
例えばスラドのパスワードとかね
Re: (スコア:0)
オンラインショップのアカウントだけでも結構あるからね
ドコモ口座とか7payのように勝手に課金機能や個人情報関連が追加されること考えたら
使い回しはあり得ない
Re: (スコア:0)
おまえは64文字〜100文字のパスワードを毎回覚えてるのか?すごいね
Re: (スコア:0, 興味深い)
64文字〜100文字にする必要性自体無いんだけどね
仮にランダムな英数字だとしたら6文字超えたあたりからオンライン攻撃での突破は不可能になり
10文字を超えたあたりからパスワードハッシュが漏洩したときのローカル攻撃までも不可能になる
100文字とかいってるけどbcryptの72文字制限のせいで長すぎるパスワードはかえって脆弱になる恐れがあることを分かっているんだろうか
https://blog.tokumaru.org/2019/02/caution-bcrypt-with-sha512.html [tokumaru.org]
Re: (スコア:0)
そこまでアカウントを使い捨ててるような奴は一般人とは呼べねーよアホか
Re: (スコア:0)
お前が今まで食ったパスワードの数を数えろ
Re: (スコア:0)
スマホ乗っ取られてる時点で基本的にはアウトだよ。
メールやSMS見るのにパスワードが要るならまだ助かるかもしれないけど、そうでなきゃ大半のサービスはパスワードリセットできる。
そもそも身内を攻撃者と想定するなら、スマホを操作されること自体が重大なリスク。
個別のWebサービスよりスマホのロック解除対策しないとセキュリティなんて絵に描いた餅でしかない。
Re: (スコア:0)
フィッシング対策協議会としてはフィッシング被害でなればソーシャルクラッキングで被害を受けようとも問題無いのです!!
指紋認証、あれはダメですわ
スマホだとある程度の間隔でパスワードを要求されるとは言え、寝ている時に使われる事を防止できない
割とある話だと、配偶者などがスマホのロックを解除してというパターンをよく聞きますが
妹の家庭では、妹がリビングでTV見ながら寝てしまった時子どもにiPhoneを指紋でロック解除された後ソシャゲの課金を指紋で承認させられたとのこと
家の中で限定で古いiPhoneで許可した時間のみ使わせていて、誕生日とかだけ少額課金していたのに満足できず犯行に走った模様
お使いの時こそっと物理ガチャ1回ずつ回してた私と妹の子ども自体とは(しかもバレてた)、同じガチャ回すにしても時代が変わったものです
Re: (スコア:0)
まあそのパターンならパスワード管理ツール使っても同じこと。
Re: (スコア:0)
瞬き必須の顔認証でもすれば
Re: (スコア:0)
パスワード管理ツールは関係ないな。
指紋認証やめろ
Re:パスワード管理ソフトを使え (スコア:1)
先般redditで話題になっていたこの表を見て
https://www.reddit.com/r/dataisbeautiful/comments/ihpo84/oc_i_hope_you... [reddit.com]
アルファベット+数字+スペース程度でも十分に長い文字列であればそれでよい
英数大小記号ランダムであっても8文字程度では不十分
と考えを改めるに至った
Re: (スコア:0)
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強
コピペできず手入力させられたり、口頭で伝えさせられたり、記号や文字数で動作不良を起こしたりするので、安易にこれをやると後々面倒になる。
パスワードは頑張って暗記しろ (スコア:0)
警察に家宅捜索or任意の捜査に協力して「パスワード管理ソフト」が入ったパソコン押収されたら、自分のアカウントにすらログインできなくなるよ
押収されたパソコンはいつ帰ってくるか分からないし全てのアカウントを失うことになる
受験勉強で無意味に思えるような文字列、例えば歴史の年号とか人名・国名を何百と暗記した記憶あるだろ?
ほんとに重要なパスワードなんてせいぜい20か30しかないんだから、それぐらい十分な強度を持つものを暗記すれば良い
それに暗記したパスワードは「黙秘」するだけでなく、「忘れた」ことにもできるし、逮捕されて何日も打ち込んでないと強度の高いパスワードは忘れないように頭の中で打ち込む努力をしないだけで本当に忘れるので、忘れるか忘れないかを自分の意思でコントロールできるというメリットもある
Re: (スコア:0)
パスワード管理ソフトのファイルなりをバックアップ、あるいは多重化しとけよ
多重化しても全部押収されるが (スコア:0)
警察なめない方がいいよ
パソコン・スマホ・外付けHDD・USBメモリどころか、ルータやスイッチングハブまで電子機器まるごと押収するから(というか何だか区別できない人が押収しているだけかも)
パスワードを書き留めた紙・手帳なんかも見つかったら押収される
Re: (スコア:0)
じゃあ司法権の及ばない東欧のクラウドとかに置いとけば
Re: (スコア:0)
パスワード管理ソフトのデータベースをパスワードで暗号化してクラウドに保管しとけ
というか普通はそうなってるぞ
Re: (スコア:0)
無限ループですな
Re: (スコア:0)
暗号化のパスフレーズとクラウドサービスのパスワードは覚えていられるのか?
普段からパスワード管理ツール使う生活していて頭使っていないと、普段使っていないパスワードなんて忘れちゃうんじゃないかな
それとGoogleドライブとかだと普段と違う端末からだと「いつもと違う環境です」とか言われてSMS認証要求されたりするがスマホ押収されているとログインできなくなる
Re: (スコア:0)
ブラウザの共有機能を暗号化したら、パスワード忘れて復元できなくなったのが私です。
Re: (スコア:0)
Re: (スコア:0)
よっぽどパスワード管理ソフトの主流化が悔しいと見える
Re: (スコア:0)
警察に家宅捜索or任意の捜査に協力して「パスワード管理ソフト」が入ったパソコン押収されたら、自分のアカウントにすらログインできなくなるよ
そんなもんパソコン壊れたって発生する話なんだから、バックアップしろや。
ほんとに重要なパスワードなんてせいぜい20か30しかないんだから、それぐらい十分な強度を持つものを暗記すれば良い
20も30も覚えられねーよ。
※私は KeePass Password Safe 2 と Kee on Firefox 利用派。
Re:パスワードは頑張って暗記しろ (スコア:2)
20も30も覚えてるもんなのかね
自分で覚えてるのは4つぐらいだなぁ
Re:パスワードは頑張って暗記しろ (スコア:2)
それはつまり毎日、長くて週に20も30もログインするって事ですか
すげえなぁ
Re: (スコア:0)
Yubikey複数枚設定して分散して保管しろ
Re: (スコア:0)
それって理屈じゃなくて「なんとなく」の感覚的な問題だと思うんだよな。
飛行機って事故の確率を考えたら極めて安全な乗り物なのに「落ちたら怖い」って乗れない奴が
その1万倍以上は危険な高速バスには平気で乗るみたいな。
パスワード記憶だって「なんとなく危険」って根拠レスの考え方でGPOで禁止してる情シス多いじゃん。
毎回手入力させたら「なんとなく安全なことやってる感」があるだけの自己満足しかない話だけど、
そんな環境に慣れたユーザはフィッシングサイト踏んでもパスワード入れるだろうなw
Re: (スコア:0)
飛行機が怖いのは危険だからじゃなくて、高いからだから……。
バスもすぐ横が崖みたいな道を走ってる間は怖くて仕方ないよ。
飛行機怖がるやつもバスは平気ってのは正しくないよ、走る道によるよ。
補償対象外になるよ (スコア:0)
各銀行やクレカの約款やら注意事項見てみ
パスワードを管理ツールやクラウドサービスに保存したり書き留めるなと書かれているから
オレが考えた最強のセキュリティを実践すると不正利用されたとき補償が効かなくなって痛い目に遭うぞ
Re: (スコア:0)
管理ツールからの流出ならそうだろうけど
裁判でそういう規約が有効と判断される保証はないよ
Re: (スコア:0)
今日久々に迷惑メールボックスを見たら、adobeがお漏らしした時に使ってたパスワードが件名になってるメールが届いてました 英語読めないんでサラッと見た感じビットコインで1万ドルをワイに払えや😎ってメールだったんで即削除しましたけど、やっぱり当時漏れたID/Passはまだどっかで漂ってるんですね