アカウント名:
パスワード:
利用者の不安は解消されないなぁ。たとえば、Googleには100文字のランダム文字列を使ってるけど、粘着に標的にされたら破られるでしょう。各サイトには、ログイン履歴(少なくとも過去数回の日時とIPくらいは)の閲覧サービスは提供してほしいと思う。
でもさ、キーロガーしこまれたPCからログインするはめになったり、フィッシングサイトにひっかかったりする可能性も0じゃないしね。一瞬で抜かれるかも。
ワンタイムトークンでいかがですか?フィッシングサイトに入力したパスワードがワンタイムトークンから発行された物であれば、そのパスワードをいざ本番環境で悪用しようとした時には無効になっています。
ワンタイムトークンのアルゴリズムが盗まれなければいいんですがね。
パスワードは向こうがこちらを認証する手段です。フィッシングなどの中間者攻撃を避けるには、こちらが向こうを認証することです。というわけでSSLです。ただ、証明書やURLを目視で確認は見落としたり騙されたりする。これの簡単な対策は、パスワード入れるときはブックマークとか使って決められたドメインにアクセスすること。あと、以前はPetname Tool [mozilla.org]使ってたんですが、対応がfirefox3.6までだし、chromeに移ったしでもう使ってない。似た様なの何かないかな。
あと、別の問題はありますが、ブラウザとかにパスワード覚えさせておけば、URLとの対で覚えてるからURLの違いに気付ける。ただ、javascriptとかで最近そういうのが出来ないサイト増えてきた。
しかし、スパイウェアやルートキット相手だとどうしようもないですね。オンラインでつながってるだけでもリスクですし。結局、こだわりすぎると究極には使わないという方向になってしまう。逆に言えば、そのレベルのリスクは許容範囲ともいえる。
盗まれても簡単に使えないようにできればいいと思うんだよね。他の認証機構を使おうとしても、設備が普及してないせいでなかなか使えないけど、普通のパスワードの仕組みでも、たとえばIPなど接続情報と組み合わせて認証を通すってのは、ときどき見かけるよね。ソニー銀行とかその系統かな。接続端末が制限されることになるけど、そんなにデバイス所有してないしね。Googleも、ちょっと系統違うけど、携帯経由で発番された情報と組み合わせるとかやっているね。こっちはちょっと面倒だけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
いくら複雑にしても (スコア:0)
利用者の不安は解消されないなぁ。
たとえば、Googleには100文字のランダム文字列を使ってるけど、粘着に標的にされたら破られるでしょう。
各サイトには、ログイン履歴(少なくとも過去数回の日時とIPくらいは)の閲覧サービスは提供してほしいと思う。
Re: (スコア:1)
たとえアルファベット小文字だけでも、26 ^ 100 ≒ 3.1 x 10^141 程度。 世界中にコンピュータを配置して1秒に100000000回ログインを試行できると仮定しても、すべての空間を試すのに 100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000年以上粘着する必要があります。
実際には記号数字も加えて更に文字が増えますし、あまりに頻繁にログインを試行するとしばらくロックされるでしょう。
Re: (スコア:0)
でもさ、キーロガーしこまれたPCからログインするはめになったり、フィッシングサイトにひっかかったりする可能性も0じゃないしね。
一瞬で抜かれるかも。
Re:いくら複雑にしても (スコア:1)
でもルパン三世なら指紋を写しとった手袋で指紋認証システム突破するしなw
Re:いくら複雑にしても (スコア:2)
ワンタイムトークンでいかがですか?
フィッシングサイトに入力したパスワードがワンタイムトークンから発行された物であれば、
そのパスワードをいざ本番環境で悪用しようとした時には無効になっています。
ワンタイムトークンのアルゴリズムが盗まれなければいいんですがね。
Re:いくら複雑にしても (スコア:1)
でもよく考えたら指紋認証でもフィッシングは防げないや。指紋の情報をフィッシングサイトに送ってしまえば同じ事だ。
Re:いくら複雑にしても (スコア:1)
パスワードは向こうがこちらを認証する手段です。
フィッシングなどの中間者攻撃を避けるには、こちらが向こうを認証することです。
というわけでSSLです。
ただ、証明書やURLを目視で確認は見落としたり騙されたりする。
これの簡単な対策は、パスワード入れるときはブックマークとか使って決められたドメインにアクセスすること。
あと、以前はPetname Tool [mozilla.org]使ってたんですが、対応がfirefox3.6までだし、chromeに移ったしでもう使ってない。
似た様なの何かないかな。
あと、別の問題はありますが、ブラウザとかにパスワード覚えさせておけば、URLとの対で覚えてるからURLの違いに気付ける。
ただ、javascriptとかで最近そういうのが出来ないサイト増えてきた。
しかし、スパイウェアやルートキット相手だとどうしようもないですね。オンラインでつながってるだけでもリスクですし。
結局、こだわりすぎると究極には使わないという方向になってしまう。
逆に言えば、そのレベルのリスクは許容範囲ともいえる。
Re: (スコア:0)
盗まれても簡単に使えないようにできればいいと思うんだよね。
他の認証機構を使おうとしても、設備が普及してないせいでなかなか使えないけど、普通のパスワードの仕組みでも、たとえばIPなど接続情報と組み合わせて認証を通すってのは、ときどき見かけるよね。
ソニー銀行とかその系統かな。接続端末が制限されることになるけど、そんなにデバイス所有してないしね。
Googleも、ちょっと系統違うけど、携帯経由で発番された情報と組み合わせるとかやっているね。こっちはちょっと面倒だけど。
Re:いくら複雑にしても (スコア:1)
ソニー銀行のシステムを調べてみた。ログインする前に端末というかブラウザを登録するんだけど、 その時にパスワードとは別に、9文字以内のひらがなかカタカナで事前に登録しておいた質問の「答え」を 入力するんだね。当然「答え」は単語1個だろうから辞書攻撃に弱いし、攻撃者が身近な人間なら答えを推測できる可能性が高い。 「答え」がセキュリティとしてどのくらいの強度を持っているか客観的に評価できないので、これをセキュリティとして採用すべきではない。「秘密の質問」はよくあるシステムだけど愚策だね。
参考: http://security.srad.jp/story/11/01/18/0828241/ [srad.jp]
Google の登録時に携帯を使わせるのは CAPTCHA の一種じゃなかったかな?
Re: (スコア:0)
そもそもパスワードは破られたときに変更可能でないといけないけど
指紋を含めた生体認証は変更可能じゃないからパスワードの代替にはならないんだよね、
どっちかというとユーザーID。