アカウント名:
パスワード:
パスワードが1つで、かつパスワードをユーザーが設定っていうのが、不正ログインが多い最大の理由
パスワードは、サーバが設定するパスワードと、ユーザーが設定するパスワードの2つ使う方式がいい仮にユーザーが他のサイトとパスワード共用しても、サーバが設定するパスワードはサイトごとにバラバラになるので、類推されない
そもそもユーザーが設定するパスワードは不要じゃない?
パスワードを設定はユーザーにさせるべきってルールがあったような、建付け上は。ユーザーのみが知り得る(管理者が知り得ない)情報でログインが行われるために。
一般的なパスワード認証は、認証時サーバーにパスワード送ってる=管理者が知ることができる。ほとんどの場合がその建前は破綻してる。
#公開鍵/秘密鍵のような仕組みのパスワードにすれば管理者が知れない状態にはできる
チャレンジ&レスポンスにすれば認証時にパスワード送らなくて済むよ!
でもヨイ子のみんなは真似すんな。
チャレンジ&レスポンスは管理者はパスワードを知ってないといけない。サーバーにパスワードがないとクライアントから送られてきた認証情報が正しいかどうかを判定できない。経路上でパスワードを盗めないだけ。
javascriptを利用してチャレンジレスポンス認証を実装したようなのがあったはず
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
主要インターネットサービスはパスワードを2つにすればいい (スコア:0)
パスワードが1つで、かつパスワードをユーザーが設定っていうのが、
不正ログインが多い最大の理由
パスワードは、サーバが設定するパスワードと、ユーザーが設定するパスワードの2つ使う方式がいい
仮にユーザーが他のサイトとパスワード共用しても、サーバが設定するパスワードはサイトごとにバラバラになるので、
類推されない
Re: (スコア:0)
そもそもユーザーが設定するパスワードは不要じゃない?
Re:主要インターネットサービスはパスワードを2つにすればいい (スコア:0)
パスワードを設定はユーザーにさせるべきってルールがあったような、建付け上は。
ユーザーのみが知り得る(管理者が知り得ない)情報でログインが行われるために。
Re: (スコア:0)
一般的なパスワード認証は、認証時サーバーにパスワード送ってる=管理者が知ることができる。ほとんどの場合がその建前は破綻してる。
#公開鍵/秘密鍵のような仕組みのパスワードにすれば管理者が知れない状態にはできる
Re: (スコア:0)
チャレンジ&レスポンスにすれば認証時にパスワード送らなくて済むよ!
でもヨイ子のみんなは真似すんな。
Re: (スコア:0)
チャレンジ&レスポンスは管理者はパスワードを知ってないといけない。
サーバーにパスワードがないとクライアントから送られてきた認証情報が正しいかどうかを判定できない。
経路上でパスワードを盗めないだけ。
Re: (スコア:0)
javascriptを利用してチャレンジレスポンス認証を実装したようなのがあったはず