アカウント名:
パスワード:
秘密の質問ってパスワードと同程度のエントロピーのランダムな文字列にするのが常識なんじゃないの?さすがに最近廃れてきたから、未だに求めてくるサイトはそれだけで要注意扱いにしてるけど。
有名なサービスですが、確か10年くらい前まで、生年月日と秘密の質問に答えるだけでパスワードをリセットできるものがあった。
本人の知り合いであれば、生年月日は秘密ではない場合が多いし、秘密の質問も「出身地」は知っていることがある。「初めて海外旅行に行った国」も、「初めての海外旅行人気ランキング」のようなリストをウェッブで調べれば、大体わかる。
#同僚から「パスワードが勝手に変更された」と連絡があって調べました。
10年前はSSL保護すら普及していなかったですからね2018年にもなってそれをやってる金融サービスがあったのは驚きでしたが
「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス [security.srad.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
パスワードと同程度のエントロピー (スコア:0)
秘密の質問ってパスワードと同程度のエントロピーのランダムな文字列にするのが常識なんじゃないの?
さすがに最近廃れてきたから、未だに求めてくるサイトはそれだけで要注意扱いにしてるけど。
Re:パスワードと同程度のエントロピー (スコア:0)
有名なサービスですが、確か10年くらい前まで、生年月日と秘密の質問に答えるだけでパスワードをリセットできるものがあった。
本人の知り合いであれば、生年月日は秘密ではない場合が多いし、秘密の質問も「出身地」は知っていることがある。
「初めて海外旅行に行った国」も、「初めての海外旅行人気ランキング」のようなリストをウェッブで調べれば、大体わかる。
#同僚から「パスワードが勝手に変更された」と連絡があって調べました。
Re: (スコア:0)
10年前はSSL保護すら普及していなかったですからね
2018年にもなってそれをやってる金融サービスがあったのは驚きでしたが
「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス [security.srad.jp]