アカウント名:
パスワード:
利用者の不安は解消されないなぁ。たとえば、Googleには100文字のランダム文字列を使ってるけど、粘着に標的にされたら破られるでしょう。各サイトには、ログイン履歴(少なくとも過去数回の日時とIPくらいは)の閲覧サービスは提供してほしいと思う。
でもさ、キーロガーしこまれたPCからログインするはめになったり、フィッシングサイトにひっかかったりする可能性も0じゃないしね。一瞬で抜かれるかも。
ワンタイムトークンでいかがですか?フィッシングサイトに入力したパスワードがワンタイムトークンから発行された物であれば、そのパスワードをいざ本番環境で悪用しようとした時には無効になっています。
ワンタイムトークンのアルゴリズムが盗まれなければいいんですがね。
パスワードは向こうがこちらを認証する手段です。フィッシングなどの中間者攻撃を避けるには、こちらが向こうを認証することです。というわけでSSLです。ただ、証明書やURLを目視で確認は見落としたり騙されたりする。これの簡単な対策は、パスワード入れるときはブックマークとか使って決められたドメインにアクセスすること。あと、以前はPetname Tool [mozilla.org]使ってたんですが、対応がfirefox3.6までだし、chromeに移ったしでもう使ってない。似た様なの何かないかな。
あと、別の問題はありますが、ブラウザとかにパスワード覚えさせておけば、URLとの対で覚えてるからURLの違いに気付ける。ただ、javascriptとかで最近そういうのが出来ないサイト増えてきた。
しかし、スパイウェアやルートキット相手だとどうしようもないですね。オンラインでつながってるだけでもリスクですし。結局、こだわりすぎると究極には使わないという方向になってしまう。逆に言えば、そのレベルのリスクは許容範囲ともいえる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
いくら複雑にしても (スコア:0)
利用者の不安は解消されないなぁ。
たとえば、Googleには100文字のランダム文字列を使ってるけど、粘着に標的にされたら破られるでしょう。
各サイトには、ログイン履歴(少なくとも過去数回の日時とIPくらいは)の閲覧サービスは提供してほしいと思う。
Re: (スコア:1)
たとえアルファベット小文字だけでも、26 ^ 100 ≒ 3.1 x 10^141 程度。 世界中にコンピュータを配置して1秒に100000000回ログインを試行できると仮定しても、すべての空間を試すのに 100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000年以上粘着する必要があります。
実際には記号数字も加えて更に文字が増えますし、あまりに頻繁にログインを試行するとしばらくロックされるでしょう。
Re: (スコア:0)
でもさ、キーロガーしこまれたPCからログインするはめになったり、フィッシングサイトにひっかかったりする可能性も0じゃないしね。
一瞬で抜かれるかも。
Re: (スコア:1)
でもルパン三世なら指紋を写しとった手袋で指紋認証システム突破するしなw
Re: (スコア:2)
ワンタイムトークンでいかがですか?
フィッシングサイトに入力したパスワードがワンタイムトークンから発行された物であれば、
そのパスワードをいざ本番環境で悪用しようとした時には無効になっています。
ワンタイムトークンのアルゴリズムが盗まれなければいいんですがね。
Re: (スコア:1)
でもよく考えたら指紋認証でもフィッシングは防げないや。指紋の情報をフィッシングサイトに送ってしまえば同じ事だ。
Re:いくら複雑にしても (スコア:1)
パスワードは向こうがこちらを認証する手段です。
フィッシングなどの中間者攻撃を避けるには、こちらが向こうを認証することです。
というわけでSSLです。
ただ、証明書やURLを目視で確認は見落としたり騙されたりする。
これの簡単な対策は、パスワード入れるときはブックマークとか使って決められたドメインにアクセスすること。
あと、以前はPetname Tool [mozilla.org]使ってたんですが、対応がfirefox3.6までだし、chromeに移ったしでもう使ってない。
似た様なの何かないかな。
あと、別の問題はありますが、ブラウザとかにパスワード覚えさせておけば、URLとの対で覚えてるからURLの違いに気付ける。
ただ、javascriptとかで最近そういうのが出来ないサイト増えてきた。
しかし、スパイウェアやルートキット相手だとどうしようもないですね。オンラインでつながってるだけでもリスクですし。
結局、こだわりすぎると究極には使わないという方向になってしまう。
逆に言えば、そのレベルのリスクは許容範囲ともいえる。