アカウント名:
パスワード:
IDを定期的に変えるのは難しいのでは?
本当は、ユーザ名(user id, user name 等) とログインIDは別にすべきですね。メールアカウントの場合ならメールアドレスはログインIDとしては使用しない、等。一部のISP等ではそのようになってたりしますが、少ないですね。
それって、IDがパスワードみたいなもんじゃないですか。
IDが公表されていることに問題があるということではないですか?IDが特定できることで対象型の攻撃が可能になります。またパスワードの傾向などもつかみやすくなるのではないでしょうか。現在問題となっているパスワードの使い回しにしても、IDが公表されていないのならば紐付けが難しくなり大きな問題にはなりにくいと思われます。
とある通販サイトから発行されるIDがやたら長くてややこしくて、類推不可能でした。なるほどなぁと思った。
そうですね。パスワードとは別の話で、ログインIDを第三者が容易に知り得ることができないようにするというのは意味があります。
ID / PW 認証フォームで、しばしば「ID または PW に誤りがあります」と表示しているのはまさにこのためで、「ID が存在しない(間違っている)場合」と「単に PW が間違っている場合」を区別できないようにすることで、第三者(攻撃者)に情報を与えないようにしています。
ログインIDを秘密情報として扱うわけではないですが、保険的な防御策としては有効です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
パスワードはともかく (スコア:1)
IDを定期的に変えるのは難しいのでは?
Re:パスワードはともかく (スコア:1)
本当は、ユーザ名(user id, user name 等) とログインIDは別にすべきですね。
メールアカウントの場合ならメールアドレスはログインIDとしては使用しない、等。
一部のISP等ではそのようになってたりしますが、少ないですね。
[Q][W][E][R][T][Y]
Re:パスワードはともかく (スコア:1)
それって、IDがパスワードみたいなもんじゃないですか。
Re: (スコア:0)
IDが公表されていることに問題があるということではないですか?
IDが特定できることで対象型の攻撃が可能になります。
またパスワードの傾向などもつかみやすくなるのではないでしょうか。
現在問題となっているパスワードの使い回しにしても、
IDが公表されていないのならば紐付けが難しくなり大きな問題にはなりにくいと思われます。
Re: (スコア:0)
とある通販サイトから発行されるIDがやたら長くてややこしくて、類推不可能でした。
なるほどなぁと思った。
Re: (スコア:0)
そうですね。パスワードとは別の話で、ログインIDを第三者が容易に知り得ることができないようにするというのは意味があります。
ID / PW 認証フォームで、しばしば「ID または PW に誤りがあります」と表示しているのはまさにこのためで、「ID が存在しない(間違っている)場合」と「単に PW が間違っている場合」を区別できないようにすることで、第三者(攻撃者)に情報を与えないようにしています。
ログインIDを秘密情報として扱うわけではないですが、保険的な防御策としては有効です。