アカウント名:
パスワード:
よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけどパスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強そして生体認証でショルダーハッキング対策すれば完璧
ランダムで強度の高いパスワードを使う必要があったのは、多要素認証が無くパスワードに依存していた時代。
今のみずほ銀行だったら、振込機能の悪用には
(1) お客さま番号 (≠口座番号) … 知識情報 または 所持情報 (書かれているカードがあるため)(2) いつもと違う環境からのログインの場合、秘密の質問の答え1 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)(3) いつもと違う環境からのログインの場合、秘密の質問の答え2 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)(4) ログインパスワード … 知識情報(5) ハードウェア
わざわざ強調していて重要と考えているところ恐縮だけども「もうパスワードなんていらないよね?」の方向にセキュリティ業界は進んでいます"パスワードレス認証" のキーワードをもしご存じなければご一考ください
頭いいこと言っているつもりなんだろうけど、"パスワードレス認証" っていうのは、ログイントークンや公開鍵認証の秘密鍵を端末に保存することを前提としており(「所持情報」に該当)、その上でローカル認証の PIN(知識情報)や 指静脈認証等 (生体情報) を組み合わせることをセキュリティ上推奨している。
サーバに送信するパスワードでも、ローカル認証のPINでも、多要素認証を考える上での知識情報に該当するのは同じこと。
本質的に「パスワードに相当するもの」が必要なのは認めますが「ユーザーが忘れるかもしれないけど思い出す必要のあるパスワード」は不要ってことです。あと、PINとか生体情報とかは操作が似ているだけでパスワードじゃないです。
その内パスワード不要な認証方法の操作の仕方も忘れる時代がくるよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
パスワード管理ソフトを使え (スコア:0)
よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけど
パスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い
特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強
そして生体認証でショルダーハッキング対策すれば完璧
時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:3, 興味深い)
ランダムで強度の高いパスワードを使う必要があったのは、多要素認証が無くパスワードに依存していた時代。
今のみずほ銀行だったら、振込機能の悪用には
(1) お客さま番号 (≠口座番号) … 知識情報 または 所持情報 (書かれているカードがあるため)
(2) いつもと違う環境からのログインの場合、秘密の質問の答え1 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
(3) いつもと違う環境からのログインの場合、秘密の質問の答え2 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
(4) ログインパスワード … 知識情報
(5) ハードウェア
Re:時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:0)
わざわざ強調していて重要と考えているところ恐縮だけども
「もうパスワードなんていらないよね?」
の方向にセキュリティ業界は進んでいます
"パスワードレス認証" のキーワードをもしご存じなければご一考ください
Re:時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:1)
頭いいこと言っているつもりなんだろうけど、"パスワードレス認証" っていうのは、ログイントークンや公開鍵認証の秘密鍵を端末に保存することを前提としており(「所持情報」に該当)、
その上でローカル認証の PIN(知識情報)や 指静脈認証等 (生体情報) を組み合わせることをセキュリティ上推奨している。
サーバに送信するパスワードでも、ローカル認証のPINでも、多要素認証を考える上での知識情報に該当するのは同じこと。
Re: (スコア:0)
本質的に「パスワードに相当するもの」が必要なのは認めますが「ユーザーが忘れるかもしれないけど思い出す必要のあるパスワード」は不要ってことです。
あと、PINとか生体情報とかは操作が似ているだけでパスワードじゃないです。
Re: (スコア:0)
その内パスワード不要な認証方法の操作の仕方も忘れる時代がくるよ