パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

MyJCBに不正アクセス、JCBカードのポイントがTポイントに交換される」記事へのコメント

  • by Anonymous Coward

    >他社サービスから流出したIDとパスワードを使用した不正なログイン
    これって同じパスワードを使用してなければ基本的に問題ないんですよね?

    むしろ流出させた他社サービスとやらの方が気になるんですけど
    こういうニュースで名前が出てこないのは何でなんだろう
    まさか嘘ってことじゃないですよね?

    • by Anonymous Coward

      だから定期的なパスワード変更が有効なんですよ。

      • by Anonymous Coward

        ネタでもそういいうのやめろ

        • by Anonymous Coward on 2014年03月29日 10時42分 (#2571368)

          ネタでもいかんのか?そんなに有害か?
          パスの定期変更が有効な場面や攻撃も普通にあるんだが。

          親コメント
          • by Anonymous Coward

            いや大事なこと抜かしてるからだろ。
            単にパスワード変更しても意味ない。
            パスワード長を長くしなきゃ。

            数年に一度はパスワード長の見直しを。
            #あとサイトの使用自体の見直しを。

            • by Anonymous Coward

              > パスワード長を長くしなきゃ。

              どこかのサイトが侵入されてパスワードが盗まれるってケースが
              最大の問題なので、パスワード長くしても対策になりません。

              • by Anonymous Coward

                いや、パスワードがハッシュ化されてれば、辞書攻撃や総当たりで短い物が沢山集まると思うので、長ければ使われる危険が低下すると思います。時間稼ぎにもなる。
                ま、平文や暗号化も単一キーでとかならどうしようもないですが、それはユーザー側ではサービスを使わないという対策しか取れないですが、そういう情報は公開されてないのでどうしようもない。
                #だから確率の問題と割り切って「サイトの使用自体の見直し」で絞ってリスク低減するしかない

              • by Anonymous Coward

                > パスワードがハッシュ化されてれば

                たとえパスワードがハッシュ化されていても、アプリケーションに脆弱性があると、
                ユーザーがパスワードを入力したタイミングで盗まれる可能性があるので、
                必ずしも安全とは言えません。

                もちろん、パスワードが長いほうが良いことは当たり前ですが、「パスワードが盗まれている」
                という前提の上で、対策として勧めるのには違和感があります。

                > だから確率の問題と割り切って「サイトの使用自体の見直し」で絞ってリスク低減するしかない

                これはおかしい、
                全サイトで別のパスワードを使うだけで、パスワードが盗まれる問題には対処できるわけです。
                別にごく簡単な対策があるのにも関わらず、「サイトの使用自体の見直しで絞ってリスク低減する
                『しかない』」というのは単純に誤りです。

              • by Anonymous Coward

                各サイト別パスワードは前提だと思ってました。
                その上である低の長さのランダムパスワードにするのは、もしハッシュ化たパスワードリストが流出しても悪用はされないだろうってことでしょ。
                ただ、平分だったり、あとはフィッシングとかキーロガーとかだと防げない。盗まれたサイトは悪用されるかもしれない。
                これが問題でないわけはない。
                特にサイトからの流出はユーザ側での対処は難しい。

          • by Anonymous Coward

            こういうケースについては非現実的でしょ。
            Webサービスなんて、30とか100とか入ってるわけで
            (自分のパスワードマネージャで確認したら、250サイト以上あったw)、
            定期的に全部変えてまわるなんて不可能。

            こういう対策を推奨すべきだと本気で誤解する奴(ネットほとんど
            使わない奴なら誤解もありうる)が出るから、むしろ有害。

            • by Anonymous Coward

              それ、整理がついてます?
              Webサービスって言ったって、オンラインバンキングからここみたいに、アカウントあるとちょっと便利に使えます程度までいろいろあるんだけど、それ全部一律フラットに管理ってのはどうかと思いますよ。
              ランク付けして定期的に見直して、不要でないか、脆弱でないか、ちょろっとでも確認するほうが身のためだと思います。
              #パスワードに限る話でも変更する話でもないですが
              #どうでもいい、乗っ取られても害のないのが250ならまあどうでもいい話だけど。

              • by Anonymous Coward

                > ランク付けして定期的に見直して、不要でないか、脆弱でないか、
                > ちょろっとでも確認するほうが身のためだと思います。

                そんなことにコストかけるぐらいなら、パスワードマネージャ導入して、
                全部のサイトで別々のパスワード使うほうが、ずっとコストが低いし、
                安全で現実的だっていう話をしているですよ。

                あなたは、いくつのサイトに登録しているか把握してますか?
                把握するためには記録をつけておく必要があるわけで、
                結局、全サイトで別々のパスワードをつけるのと同じか、
                むしろより大きなコストをかける必要があるわけです。
                パスワードマネージャの導入はたいしたコストじゃないですが、
                すべてのサイトについて、記録をつけて、パスワード変更時期を管理して、
                定期的にパスワードを変更して、適宜脆弱かどうか確認するとか、
                ありえないと思いますよ。

              • by Anonymous Coward

                パスワードマネージャーなら登録サイト一覧見れるわけだし、年一くらいちょろっと見て、あのサイト結局使わなかったとか、暫くここ使ってないなとか、そいうのはありえません?
                別に全てのサイトについてやれって話じゃないですよ?そのためのランク付けなんですから。
                すべて一律にするから無理が出るんであって、別にスラドのパスワードなんてどうでもいいんですよ。普段使いのサイトもまあ状況分かってますよね。
                どうでも良いとまでは言わないし、あんまり使わないとかそういうサイトって意識しないと気にかけないじゃないですか。
                年一くらい気にかけても良いと思うけどな。
                #てか、それすら出来ないってくらい多いとか、それら本当に必要なサイト?って思っちゃう

          • by Anonymous Coward

            「パスワードの定期的変更」は基本的には無意味 [srad.jp]
            面倒だからっておぼえやすいパスワードにしちゃう人が一定数出ることを考えると,定期変更の強制に害はあると思う.

            • by Anonymous Coward

              >>面倒だからっておぼえやすいパスワードにしちゃう人

              そういう人は最初からおぼえやすいパスワードとやらにしてるんじゃね?
              統計的に分析せずにそういうこと言っちゃうのはいかんと思うす。

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...