パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

CISA、単一要素認証をサイバーセキュリティの「バッドプラクティス」リストに追加」記事へのコメント

  • パスワードが1つで、かつパスワードをユーザーが設定っていうのが、
    不正ログインが多い最大の理由

    パスワードは、サーバが設定するパスワードと、ユーザーが設定するパスワードの2つ使う方式がいい
    仮にユーザーが他のサイトとパスワード共用しても、サーバが設定するパスワードはサイトごとにバラバラになるので、
    類推されない

    • by Anonymous Coward

      そもそもユーザーが設定するパスワードは不要じゃない?

      • by Anonymous Coward

        パスワードを設定はユーザーにさせるべきってルールがあったような、建付け上は。
        ユーザーのみが知り得る(管理者が知り得ない)情報でログインが行われるために。

        • 一般的なパスワード認証は、認証時サーバーにパスワード送ってる=管理者が知ることができる。ほとんどの場合がその建前は破綻してる。

          #公開鍵/秘密鍵のような仕組みのパスワードにすれば管理者が知れない状態にはできる

          親コメント
          • by Anonymous Coward

            チャレンジ&レスポンスにすれば認証時にパスワード送らなくて済むよ!

            でもヨイ子のみんなは真似すんな。

            • by Anonymous Coward

              チャレンジ&レスポンスは管理者はパスワードを知ってないといけない。
              サーバーにパスワードがないとクライアントから送られてきた認証情報が正しいかどうかを判定できない。
              経路上でパスワードを盗めないだけ。

          • by Anonymous Coward

            javascriptを利用してチャレンジレスポンス認証を実装したようなのがあったはず

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...