アカウント名:
パスワード:
「秘密の質問」でのパスワードリセット機構も禁止にしてほしい。
あれの答えが漏洩すると意味がない上、「秘密の質問」の回答を修正できないシステムも少なからずあり、恒久的にリスクに晒されることになる。(まあ「最初に飼ったペットの名前」とか「卒業した小学校」とか、まず変わらんのは事実だけど)
そうでなくとも身近な人経由やソーシャルエンジニアリングで漏洩するリスクもあるんだから、ユーザーを危険に晒している点では、かなり害悪な筈なのだが。
# 適当な文字いれても他サイトと共有したら漏洩対策の意味がないし# サイトごとに「秘密の質問」の回答を記録して管理するなら個別のパスワードで事足りる
正しい答えを入力しちゃのがいけないんだよ。あれは第二のパスワードとして扱う項目。「卒業した小学校」→「家から徒歩20分、坂の上の学校」みたいに入力すべき。
なんて適当に入れてたら不正アクセスの疑いでアカウントロック→運営に身分証明書を要求され→生年月日など身分証と一致しないからロック解除できずと、正しいパスワード分かるのにアクセスできなくなることもあるけどさw
#生年月日とメアドでリセットとかもやめて
質問も入れられると良いと思ってるんだよねそんで質問も見せてくれるの
そしたら「hogehoge.comにいつのもソルトを添えてハッシュ」とか書けるのに
日本語入力の自由度が高すぎるのも問題なんだよなあれ?20分って半角だっけ?句読点は?で正しい答えも正しい文章にならないw
で同じ回答ばかり入力して暗号強度が下がるというほんとクソ機能
サービスごとに違う表現にすると、いざ要求されても正しい表現で答えられない。複数サービスで同じ表現にすると、どこかが漏洩したら芋づる式に抜かれる。
ソーシャルエンジニアリング対策にはなっても、辞書攻撃に弱いのは変わらない。
パスワード使いまわしてそう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
ついでに (スコア:0)
「秘密の質問」でのパスワードリセット機構も禁止にしてほしい。
あれの答えが漏洩すると意味がない上、「秘密の質問」の回答を修正できないシステムも少なからずあり、恒久的にリスクに晒されることになる。
(まあ「最初に飼ったペットの名前」とか「卒業した小学校」とか、まず変わらんのは事実だけど)
そうでなくとも身近な人経由やソーシャルエンジニアリングで漏洩するリスクもあるんだから、ユーザーを危険に晒している点では、かなり害悪な筈なのだが。
# 適当な文字いれても他サイトと共有したら漏洩対策の意味がないし
# サイトごとに「秘密の質問」の回答を記録して管理するなら個別のパスワードで事足りる
Re:ついでに (スコア:0)
正しい答えを入力しちゃのがいけないんだよ。あれは第二のパスワードとして扱う項目。
「卒業した小学校」→「家から徒歩20分、坂の上の学校」みたいに入力すべき。
なんて適当に入れてたら不正アクセスの疑いでアカウントロック→運営に身分証明書を要求され→生年月日など身分証と一致しないからロック解除できずと、正しいパスワード分かるのにアクセスできなくなることもあるけどさw
#生年月日とメアドでリセットとかもやめて
Re:ついでに (スコア:1)
質問も入れられると良いと思ってるんだよね
そんで質問も見せてくれるの
そしたら「hogehoge.comにいつのもソルトを添えてハッシュ」とか書けるのに
Re: (スコア:0)
日本語入力の自由度が高すぎるのも問題なんだよな
あれ?20分って半角だっけ?句読点は?で正しい答えも正しい文章にならないw
で同じ回答ばかり入力して暗号強度が下がるという
ほんとクソ機能
Re: (スコア:0)
正しい答えを入力しちゃのがいけないんだよ。あれは第二のパスワードとして扱う項目。
「卒業した小学校」→「家から徒歩20分、坂の上の学校」みたいに入力すべき。
サービスごとに違う表現にすると、いざ要求されても正しい表現で答えられない。
複数サービスで同じ表現にすると、どこかが漏洩したら芋づる式に抜かれる。
ソーシャルエンジニアリング対策にはなっても、辞書攻撃に弱いのは変わらない。
Re: (スコア:0)
パスワード使いまわしてそう