アカウント名:
パスワード:
よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけどパスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強そして生体認証でショルダーハッキング対策すれば完璧
ブラウザにパスワード管理機能があるなら、そちらを優先して使用した方が良い。入力されるパスワードとドメインやURIが関連付けられているのでフィッシングに強くなる。
ブラウザに記憶させたら、寝ている間にスマホの指紋認証突破されたり探偵にグミ指で指紋認証突破されたりして身内に情報盗み取られるなどうもセキュリティオタクって独身が多いせいか同居者に悪用されるケースを全然考えていない人が多すぎる実際はクレカの不正利用などの金融犯罪でも同居者・家族・親族が圧倒的多数だってのに
そういうことできる時点で、パスワード管理ツールの問題じゃないっての。別のセキュリティソリューション導入しろ。
パスワード覚えて毎回ログアウトするだけでいいんですけどねぇそれを「セキュリティソリューション」とは大げさな
ぜんぜん覚えられない
パスワード覚えられない人って、漢字も書けなそう常用漢字半分ぐらいしか書けなそう
脳トレだと思ってパスワードぐらい覚える訓練した方が良いよ
デスクトップとノーパソ三台程度のログインパスワードパスワード管理ツールのパスワード管理ツールに入れづらいパスワード3行の銀行口座の暗証番号クレカ2枚のPIN番号
これでトータル10件くらいなら覚えられそうただし長いのは2件分・3件分カウントになりそう
老害はネットしないからそれで済むんだろうけど、一般人は数年で数百個くらいアカウント使い捨てるからね
使い捨てるようなアカウントのパスワードなんて使いまわしでいいのでは
例えばスラドのパスワードとかね
オンラインショップのアカウントだけでも結構あるからねドコモ口座とか7payのように勝手に課金機能や個人情報関連が追加されること考えたら使い回しはあり得ない
おまえは64文字〜100文字のパスワードを毎回覚えてるのか?すごいね
64文字〜100文字にする必要性自体無いんだけどね仮にランダムな英数字だとしたら6文字超えたあたりからオンライン攻撃での突破は不可能になり10文字を超えたあたりからパスワードハッシュが漏洩したときのローカル攻撃までも不可能になる
100文字とかいってるけどbcryptの72文字制限のせいで長すぎるパスワードはかえって脆弱になる恐れがあることを分かっているんだろうかhttps://blog.tokumaru.org/2019/02/caution-bcrypt-with-sha512.html [tokumaru.org]
そこまでアカウントを使い捨ててるような奴は一般人とは呼べねーよアホか
それは「72文字制限を回避しようとサイト側で脆弱性を作り込んでしまった」もので、ユーザ側のリスクは10文字でも72文字でも100文字でも変わりません。
お前が今まで食ったパスワードの数を数えろ
スマホ乗っ取られてる時点で基本的にはアウトだよ。メールやSMS見るのにパスワードが要るならまだ助かるかもしれないけど、そうでなきゃ大半のサービスはパスワードリセットできる。そもそも身内を攻撃者と想定するなら、スマホを操作されること自体が重大なリスク。個別のWebサービスよりスマホのロック解除対策しないとセキュリティなんて絵に描いた餅でしかない。
やっぱ独身が最高のセキュリティソリューションやな。
フィッシング対策協議会としてはフィッシング被害でなればソーシャルクラッキングで被害を受けようとも問題無いのです!!
指紋認証、あれはダメですわスマホだとある程度の間隔でパスワードを要求されるとは言え、寝ている時に使われる事を防止できない割とある話だと、配偶者などがスマホのロックを解除してというパターンをよく聞きますが妹の家庭では、妹がリビングでTV見ながら寝てしまった時子どもにiPhoneを指紋でロック解除された後ソシャゲの課金を指紋で承認させられたとのこと家の中で限定で古いiPhoneで許可した時間のみ使わせていて、誕生日とかだけ少額課金していたのに満足できず犯行に走った模様お使いの時こそっと物理ガチャ1回ずつ回してた私と妹の子ども自体とは(しかもバレてた)、同じガチャ回すにしても時代が変わったものです
まあそのパターンならパスワード管理ツール使っても同じこと。
瞬き必須の顔認証でもすれば
パスワード管理ツールは関係ないな。指紋認証やめろ
指紋認証に限らず生体認証ってのは認証と名乗っているけどその実簡易ロック。トイレの鍵同様、開けないでね普通は開けないよねって意思表示する道具で真面目な保護手段ではない。
鍵が「複数の無関係なサービス間で共通で」「暗号化されてないどころか24時間365日フルオープンでいつ複製されてもおかしくなく」「漏洩・複製・悪用された事が明らかであっても更新できない」とかセキュリティのセの字も無いとしか言いようが無い。分電盤の鍵型治具(全機種共通鍵、というかイタズラ防止具)みたいな物。
生体認証を「複製困難、突破不能、安全」って宣伝してる奴がいたらそいつは馬鹿か詐欺師か馬鹿の指示にやむなく従う哀れな下っ端だ。
>実際はクレカの不正利用などの金融犯罪でも同居者・家族・親族が圧倒的多数だってのに何も知らなくて申し訳ないのですが、どちらでそのような結果が公表されているかご教示いただけるでしょうか
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
パスワード管理ソフトを使え (スコア:0)
よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけど
パスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い
特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強
そして生体認証でショルダーハッキング対策すれば完璧
Re: (スコア:1)
ブラウザにパスワード管理機能があるなら、そちらを優先して使用した方が良い。
入力されるパスワードとドメインやURIが関連付けられているのでフィッシングに強くなる。
実際の悪用って身内が多いんだけどねぇ (スコア:0)
ブラウザに記憶させたら、寝ている間にスマホの指紋認証突破されたり探偵にグミ指で指紋認証突破されたりして身内に情報盗み取られるな
どうもセキュリティオタクって独身が多いせいか同居者に悪用されるケースを全然考えていない人が多すぎる
実際はクレカの不正利用などの金融犯罪でも同居者・家族・親族が圧倒的多数だってのに
Re: (スコア:0)
そういうことできる時点で、パスワード管理ツールの問題じゃないっての。
別のセキュリティソリューション導入しろ。
ただパスワード覚えるだけなんですけど (スコア:0)
パスワード覚えて毎回ログアウトするだけでいいんですけどねぇ
それを「セキュリティソリューション」とは大げさな
Re: (スコア:0)
ぜんぜん覚えられない
使わないから脳が劣化しているんだろうな (スコア:0)
パスワード覚えられない人って、漢字も書けなそう
常用漢字半分ぐらいしか書けなそう
脳トレだと思ってパスワードぐらい覚える訓練した方が良いよ
Re: (スコア:0)
デスクトップとノーパソ三台程度のログインパスワード
パスワード管理ツールのパスワード
管理ツールに入れづらいパスワード
3行の銀行口座の暗証番号
クレカ2枚のPIN番号
これでトータル10件くらいなら覚えられそう
ただし長いのは2件分・3件分カウントになりそう
Re: (スコア:0)
老害はネットしないからそれで済むんだろうけど、一般人は数年で数百個くらいアカウント使い捨てるからね
Re: (スコア:0)
使い捨てるようなアカウントのパスワードなんて使いまわしでいいのでは
例えばスラドのパスワードとかね
Re: (スコア:0)
オンラインショップのアカウントだけでも結構あるからね
ドコモ口座とか7payのように勝手に課金機能や個人情報関連が追加されること考えたら
使い回しはあり得ない
Re: (スコア:0)
おまえは64文字〜100文字のパスワードを毎回覚えてるのか?すごいね
Re: (スコア:0, 興味深い)
64文字〜100文字にする必要性自体無いんだけどね
仮にランダムな英数字だとしたら6文字超えたあたりからオンライン攻撃での突破は不可能になり
10文字を超えたあたりからパスワードハッシュが漏洩したときのローカル攻撃までも不可能になる
100文字とかいってるけどbcryptの72文字制限のせいで長すぎるパスワードはかえって脆弱になる恐れがあることを分かっているんだろうか
https://blog.tokumaru.org/2019/02/caution-bcrypt-with-sha512.html [tokumaru.org]
Re: (スコア:0)
そこまでアカウントを使い捨ててるような奴は一般人とは呼べねーよアホか
Re: (スコア:0)
それは「72文字制限を回避しようとサイト側で脆弱性を作り込んでしまった」もので、
ユーザ側のリスクは10文字でも72文字でも100文字でも変わりません。
Re: (スコア:0)
お前が今まで食ったパスワードの数を数えろ
Re: (スコア:0)
スマホ乗っ取られてる時点で基本的にはアウトだよ。
メールやSMS見るのにパスワードが要るならまだ助かるかもしれないけど、そうでなきゃ大半のサービスはパスワードリセットできる。
そもそも身内を攻撃者と想定するなら、スマホを操作されること自体が重大なリスク。
個別のWebサービスよりスマホのロック解除対策しないとセキュリティなんて絵に描いた餅でしかない。
Re: (スコア:0)
やっぱ独身が最高のセキュリティソリューションやな。
Re: (スコア:0)
フィッシング対策協議会としてはフィッシング被害でなればソーシャルクラッキングで被害を受けようとも問題無いのです!!
指紋認証、あれはダメですわ
スマホだとある程度の間隔でパスワードを要求されるとは言え、寝ている時に使われる事を防止できない
割とある話だと、配偶者などがスマホのロックを解除してというパターンをよく聞きますが
妹の家庭では、妹がリビングでTV見ながら寝てしまった時子どもにiPhoneを指紋でロック解除された後ソシャゲの課金を指紋で承認させられたとのこと
家の中で限定で古いiPhoneで許可した時間のみ使わせていて、誕生日とかだけ少額課金していたのに満足できず犯行に走った模様
お使いの時こそっと物理ガチャ1回ずつ回してた私と妹の子ども自体とは(しかもバレてた)、同じガチャ回すにしても時代が変わったものです
Re: (スコア:0)
まあそのパターンならパスワード管理ツール使っても同じこと。
Re: (スコア:0)
瞬き必須の顔認証でもすれば
Re: (スコア:0)
パスワード管理ツールは関係ないな。
指紋認証やめろ
Re: (スコア:0)
指紋認証に限らず生体認証ってのは認証と名乗っているけどその実簡易ロック。
トイレの鍵同様、開けないでね普通は開けないよねって意思表示する道具で真面目な保護手段ではない。
鍵が
「複数の無関係なサービス間で共通で」
「暗号化されてないどころか24時間365日フルオープンでいつ複製されてもおかしくなく」
「漏洩・複製・悪用された事が明らかであっても更新できない」
とかセキュリティのセの字も無いとしか言いようが無い。
分電盤の鍵型治具(全機種共通鍵、というかイタズラ防止具)みたいな物。
生体認証を「複製困難、突破不能、安全」って宣伝してる奴がいたら
そいつは馬鹿か詐欺師か馬鹿の指示にやむなく従う哀れな下っ端だ。
Re: (スコア:0)
>実際はクレカの不正利用などの金融犯罪でも同居者・家族・親族が圧倒的多数だってのに
何も知らなくて申し訳ないのですが、どちらでそのような結果が公表されているかご教示いただけるでしょうか