アカウント名:
パスワード:
「秘密の質問」でのパスワードリセット機構も禁止にしてほしい。
あれの答えが漏洩すると意味がない上、「秘密の質問」の回答を修正できないシステムも少なからずあり、恒久的にリスクに晒されることになる。(まあ「最初に飼ったペットの名前」とか「卒業した小学校」とか、まず変わらんのは事実だけど)
そうでなくとも身近な人経由やソーシャルエンジニアリングで漏洩するリスクもあるんだから、ユーザーを危険に晒している点では、かなり害悪な筈なのだが。
# 適当な文字いれても他サイトと共有したら漏洩対策の意味がないし# サイトごとに「秘密の質問」の回答を記録して管理するなら個別のパスワードで事足りる
正しい答えを入力しちゃのがいけないんだよ。あれは第二のパスワードとして扱う項目。「卒業した小学校」→「家から徒歩20分、坂の上の学校」みたいに入力すべき。
なんて適当に入れてたら不正アクセスの疑いでアカウントロック→運営に身分証明書を要求され→生年月日など身分証と一致しないからロック解除できずと、正しいパスワード分かるのにアクセスできなくなることもあるけどさw
#生年月日とメアドでリセットとかもやめて
サービスごとに違う表現にすると、いざ要求されても正しい表現で答えられない。複数サービスで同じ表現にすると、どこかが漏洩したら芋づる式に抜かれる。
ソーシャルエンジニアリング対策にはなっても、辞書攻撃に弱いのは変わらない。
パスワード使いまわしてそう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
ついでに (スコア:0)
「秘密の質問」でのパスワードリセット機構も禁止にしてほしい。
あれの答えが漏洩すると意味がない上、「秘密の質問」の回答を修正できないシステムも少なからずあり、恒久的にリスクに晒されることになる。
(まあ「最初に飼ったペットの名前」とか「卒業した小学校」とか、まず変わらんのは事実だけど)
そうでなくとも身近な人経由やソーシャルエンジニアリングで漏洩するリスクもあるんだから、ユーザーを危険に晒している点では、かなり害悪な筈なのだが。
# 適当な文字いれても他サイトと共有したら漏洩対策の意味がないし
# サイトごとに「秘密の質問」の回答を記録して管理するなら個別のパスワードで事足りる
Re: (スコア:0)
正しい答えを入力しちゃのがいけないんだよ。あれは第二のパスワードとして扱う項目。
「卒業した小学校」→「家から徒歩20分、坂の上の学校」みたいに入力すべき。
なんて適当に入れてたら不正アクセスの疑いでアカウントロック→運営に身分証明書を要求され→生年月日など身分証と一致しないからロック解除できずと、正しいパスワード分かるのにアクセスできなくなることもあるけどさw
#生年月日とメアドでリセットとかもやめて
Re:ついでに (スコア:0)
正しい答えを入力しちゃのがいけないんだよ。あれは第二のパスワードとして扱う項目。
「卒業した小学校」→「家から徒歩20分、坂の上の学校」みたいに入力すべき。
サービスごとに違う表現にすると、いざ要求されても正しい表現で答えられない。
複数サービスで同じ表現にすると、どこかが漏洩したら芋づる式に抜かれる。
ソーシャルエンジニアリング対策にはなっても、辞書攻撃に弱いのは変わらない。
Re: (スコア:0)
パスワード使いまわしてそう