アカウント名:
パスワード:
パスワードの使い回しをされてたら桁数制限の効果は、ほぼ無いですよね。
そんな事言って、「他サービスと同じパスワードが設定できなくするように」と言う通達でも出したら失笑するんでしょ?
それはさすがに失笑する。どうやって実装するんだろう。パスワード登録時に他サービスにアクセスして「ご入力のパスワードで他サービスにログインできたので、登録できません」とか? ダメだよなあ。
パスワードをユーザに作成させなければ良いと思ってます。乱数生成したものを発行し、それを使わせるだけ。パスワードの再発行も同様に。
ただし、これを暗記、手入力はさすがに難しいので、ブラウザのパスポートマネージャに記憶させるために、発行時に一度、ログインフォームに最初からvalue値を設定して、ユーザにログインさせれば、今の大抵のサービスより使い勝手も向上するかと思います。
モダンなWebブラウザはパスワードマネージャが搭載されていますし、端末間での共有もサポートされているものが多いので、複数のデバイスでのアクセスも問題無いと思います。
また、パスワードマネージャの利用を阻害しないように、パスワードだけを問い合わせるようなログインフォームを作らないように、注意が必要だと思います。
ワンタイムパスワードェ……
システムで強制生成される固定パスワードには、その規則性を突破される可能性があって危険なんでしたっけ。どっちにしろ生成されたタイミングを狙われたら危険なのはワンタイムパスワードも変わりはしませんが……
サービス間で共用は駄目だけど、端末間での共有の共有はOKと言うのが理解できません。○○銀行のサービスは危険で、Google/Mozillaのサービスなら安全と言うことでしょうか?
端末間で共有しても、リスト攻撃にあいません。
銀行間で共有しても漏れなきゃリスト攻撃にあいませんよ?パスワードマネージャなどで共有する場合、大抵GoogleなりMozillaなり何らかのサーバを介しますが、そこで漏れることは想定されてませんか?
おっしゃることは正論なのですが、八文字「以下」しか認めないとか、数字しか認めないなどと言っている銀行に比べて、普通に常識的なパスワードが設定できて、ちゃんと暗号化されて保存されていることが自分で確認できるブラウザ、どっちが信用できるかと言われたら、僕は断然ブラウザの方を支持します。
パスワードを共有すると、共有している中で一番弱いところから漏れるのになんで銀行しか出てこないんですか?
銀行は例だし、どっちが危険か?と言う話をしてる訳じゃないんですがね。
二者択一じゃなく両方選ぶ/選ばないという選択肢もあるのですよ?
スラドに来るような層ならともかく、おっちゃんおばちゃんの素人層にそんなこと要求できないでしょう。
パスワードマネージャ?なにそれ?共有?どうやるの?なにもしてないのにパスワードが消えた!!
大多数は危険な方法で使えるより、危険な方法だと使えない方が安全だと思います。#危険でも使えるべきなのは使えないと危険な場合だけですよ。
パスワードやめて証明書認証すればいいじゃない
たいていのユーザーは証明書のインストールが出来ないので、activeXでゴニョゴニョしないといけなくなりますそうなると、WindowsのIE以外使えなくなるんですが、それでいいんですかね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
桁数制限の効果 (スコア:1)
パスワードの使い回しをされてたら桁数制限の効果は、ほぼ無いですよね。
Re: (スコア:1)
そんな事言って、
「他サービスと同じパスワードが設定できなくするように」
と言う通達でも出したら失笑するんでしょ?
Re: (スコア:0)
それはさすがに失笑する。
どうやって実装するんだろう。
パスワード登録時に他サービスにアクセスして
「ご入力のパスワードで他サービスにログインできたので、登録できません」とか? ダメだよなあ。
Re:桁数制限の効果 (スコア:2)
パスワードをユーザに作成させなければ良いと思ってます。乱数生成したものを発行し、それを使わせるだけ。パスワードの再発行も同様に。
ただし、これを暗記、手入力はさすがに難しいので、ブラウザのパスポートマネージャに記憶させるために、発行時に一度、ログインフォームに最初からvalue値を設定して、ユーザにログインさせれば、今の大抵のサービスより使い勝手も向上するかと思います。
モダンなWebブラウザはパスワードマネージャが搭載されていますし、端末間での共有もサポートされているものが多いので、複数のデバイスでのアクセスも問題無いと思います。
また、パスワードマネージャの利用を阻害しないように、パスワードだけを問い合わせるようなログインフォームを作らないように、注意が必要だと思います。
Re:桁数制限の効果 (スコア:1)
ワンタイムパスワードェ……
システムで強制生成される固定パスワードには、
その規則性を突破される可能性があって危険なんでしたっけ。
どっちにしろ生成されたタイミングを狙われたら危険なのはワンタイムパスワードも変わりはしませんが……
Re: (スコア:0)
サービス間で共用は駄目だけど、端末間での共有の共有はOKと言うのが理解できません。
○○銀行のサービスは危険で、Google/Mozillaのサービスなら安全と言うことでしょうか?
Re: (スコア:0)
端末間で共有しても、リスト攻撃にあいません。
Re: (スコア:0)
銀行間で共有しても漏れなきゃリスト攻撃にあいませんよ?
パスワードマネージャなどで共有する場合、大抵GoogleなりMozillaなり何らかのサーバを介しますが、
そこで漏れることは想定されてませんか?
Re:桁数制限の効果 (スコア:1)
おっしゃることは正論なのですが、八文字「以下」しか認めないとか、数字しか認めないなどと言っている銀行に比べて、
普通に常識的なパスワードが設定できて、ちゃんと暗号化されて保存されていることが自分で確認できるブラウザ、どっちが信用できるかと言われたら、僕は断然ブラウザの方を支持します。
Re: (スコア:0)
パスワードを共有すると、共有している中で一番弱いところから漏れるのになんで銀行しか出てこないんですか?
Re: (スコア:0)
銀行は例だし、どっちが危険か?と言う話をしてる訳じゃないんですがね。
二者択一じゃなく両方選ぶ/選ばないという選択肢もあるのですよ?
Re: (スコア:0)
スラドに来るような層ならともかく、
おっちゃんおばちゃんの素人層にそんなこと要求できないでしょう。
パスワードマネージャ?なにそれ?
共有?どうやるの?
なにもしてないのにパスワードが消えた!!
Re: (スコア:0)
大多数は危険な方法で使えるより、危険な方法だと使えない方が安全だと思います。
#危険でも使えるべきなのは使えないと危険な場合だけですよ。
Re: (スコア:0)
パスワードやめて証明書認証すればいいじゃない
Re: (スコア:0)
たいていのユーザーは証明書のインストールが出来ないので、activeXでゴニョゴニョしないといけなくなります
そうなると、WindowsのIE以外使えなくなるんですが、それでいいんですかね