アカウント名:
パスワード:
そんなこと言ったって、先進国どころか発展途上国ですら一般ユーザーがオンラインで複数のサービスを使用するのなんて普遍的なことになってきてる世の中で人間の覚えられるパスワード(特に複雑なもの)には上限があって、いちいち覚えきれない以上、共通化せざるを得ないのは仕方ないと思う
確かに使い回しが脆弱になるのは事実だろうが、だから使い回しはやめよう、でもパスワードの強度はしっかりね、なんて言われたって一般人には実践不可能これってもうオンラインサービスという存在と、それを利用する人間の限界に依存するものだからどうしようもない「交通事故が増えてきたから車に轢かれても死なない人間になろう」とか「交通事故が増えてきたから自動車は一切合切禁止しよう」とか今更無理な極論でしょ?ってのと同じ話
パスワード入力の補助ツールを使えば何とかなるけど、そういったツールが普及しはじめると、今度は脆弱性や悪意があった時のリスクが跳ね上がるだけじゃね?「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたときに大丈夫なパスワード管理ツール」なんて存在しないしな
読み取り装置が一般に普及できる程度のコストで、誤検知率が極端に低い生体認証を開発するぐらいしかないと思うなぁ(逆にそれが作れたら一生遊んで暮らせるぐらいの金は入りそうなものだが)
そうですね。iPhoneには指紋認証がついたのにサードパーティのアプリではあまり使われていないようですが、なんなんでしょうね?ユーザに負担を強いる前に、サービス提供側ができることを全部やっているのか、と思います。
携帯の指紋認証はそのデバイスに以前に入力された指紋との比較結果を返すようになっているので、引継ぎにはやっぱりIDとパスワードが要るんじゃないでしょうか。
指紋認証は危険? スマホで指紋認証を使ってはいけない3つの理由http://blog.avg.co.jp/2016/08/3reasons-not-to-use-fingerauth/ [avg.co.jp]
3番が意外な盲点。指紋採取とか取り調べでは当たり前なので、パスワードでは強制アンロックできないスマホが、指紋認証可にしてるとあっさりアンロックされる危険。
つまり容易に使える生体認証だからこその問題点。
>つまり容易に使える生体認証だからこその問題点。
二段階認証や複数の手段を使った認証が安全なんすかね。
指紋認証が必要とされるアプリが少ないからでは。金融系の取引ができるアプリは使うべきだけど、それ以外に指紋認証が必要なアプリって何だろう?自分が使ってるパスワード管理アプリはちゃんと対応してる。
それよりもっとアレなのは、iOSには、登録はSafariでだけど、ウェブ上でパスワードを生成してOS標準のストレージに暗号化して保存する機能(KeyChain)がある。他のウェブブラウザなんかでも同様の機能はあるけど基本的にウェブ画面だけ。iOSだとアプリからでもそのパスワードを呼び出せる(Androidでも同様かな?)。けど、そのAPI使ってるアプリは極めて稀。だから、現状だとブラウザのパスワード管理はブラウザ内でしか使えない、という残念仕様になってしまってる。この辺もう少しきっちりやったら、本当にパスワードを覚える必要性は下がるんだけどな。
> 「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたときに大丈夫なパスワード管理ツール」なんて存在しないしな
こういう半可通がセキュリティリスクになる。
「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたとき」に大丈夫なパスワード管理ツールというのをご存じなのですか?後学のためにご教示ください。
親コメは引っこ抜かれることを防止するためにツールを使わず、弱いパスワードを使い回すという方法を取ってますよね。使い回すことによるリスクと引っこ抜かれるリスクのうち、後者を重くみることを元ACさんは「半可通」と言っているのでしょう。
管理ツールから抜かれるケースより、不適切なパスワードが破られるケースの方がより耳慣れているとは思います。一つの弱いパスワードを使い回しても、平文パスワードを一つのパスワードで暗号化しても、破るのに最低限必要な資源は同じかもしれませんし。
使い回されるリスクは特定のサービス(まあ複数が重複することはあるけど)にしか影響しないけど、漏洩するリスクは使用してる全部のサービスの情報が纏めて引っこ抜かれるから、比較するのは難しい。
あと管理ツールそのものが「まだ普及してないから」リスクが顕在化してないだけってのはある。もうだいぶ昔の話だが「Windowsはウィルスに感染しやすい、Macは安全」みたいなネタが人口に膾炙していた時期もあったわけだし(システム的に安全だったわけではなく、単に母数が少なかったからクラッカーの攻撃対象にされにくかっただけなのに)
使い回しているパスワードが割られたら、使い回し先のサービスがすべて割られた状態になりますよね。それではランダムなパスワードを生成して共通の対称暗号で暗号化している状態とほぼ同じです。
「一気にまとめて引っこ抜かれる」という"危険感"は管理ツールの方が高く思えるかもしれませんが、それは実際に引っこ抜かれるリスクを評価しなければ分かりませんし、脆弱なパスワードや使い回しのパスワードを設定している場合に比べて、少なくとも直ちに危険とは言えないですよ。
だったら、管理ツールに全部入れてサービスには完全にランダムなパスワードを設定したっていいんです。少なくとも、覚えられる程度に複雑さを限定してしまうことの危険性はなくすことができます。
うん?「使い回し」の意味わかってます?全部のサービスで同じユーザID、パスワードを使うってことですよ。使ってるサービスの内どっか一箇所がお漏らししたら使ってる全部のサービスのユーザID、パスワードが自動的にバレるってことです。まあ攻撃者が知らんようなマイナーサイトは無事でしょうけども。
パスワードはともかく、ユーザーIDって全部のサービスで同じものが使える(取れる)のか?常識的に考えてユーザーIDって一意だから、新しいサービスが出るたびに片っ端からID取ってまわる奴でもない限り、同じIDを使い回すのって簡単じゃないと思うが。
まあメアドがユーザーIDになってるってシステムなら少なからずあるけど、せいぜいその程度じゃね?
WEB上のサービスだとメアドをIDにするサービス多数。その気になれば結構なサービスでIDとパスワードを同じに出来るよ。
後、昨今流行りの外部サービスによる認証でも結果的に同じ。一か所抜けたら(って認証は一か所だけなんだけど)他もアクセス可能になっちまう。
私が使ってるだけでも、メールアドレスをIDに使うサービスは40件くらいありますね。ユーザIDを強制するところはその半分もないです。ユーザIDは公開されるから、という理由でログインにはメールアドレスしか使えないサービスもありますね。
メモ帳に書いてた頃はこのうちの10以上で同じパスワードを使い回していたものです。漏れていたらどうなっていたでしょうか。はてさて。
サイト毎にユーザーID変えてたら結局サイト毎のパスワードが覚えられないってのと同じ問題がユーザーIDについて起こるんじゃねーの?
以前はユーザーIDだったのにメールアドレスに変更してるところも結構あるよね
あ、知ってる。どんなツールをあげても難癖つけてくるパターンだ。
具体例を挙げられないくせに他人を半可通とか言っちゃってる半可通が開き直ってる典型ですね。
ミルパス [kingjim.co.jp]なら適切に管理すれば大丈夫。#ツールの概念が違う?
それにUSB接続した時、むりやり外部からデータ読み取れる脆弱性やバックドアがついてないことが確認できるんですかね?あるいは公衆Wifiに勝手に繋いでデータ送信してないことは確認できるんですか?
キングジムなら割と大丈夫だろうとは思うけど、製造工場がチョンボやらかしてないとも限らないし、キングジム直販でもない限りはパチ物を掴まされるリスクもあるんですが。
自分の登録してるオンラインサイトのログイン情報、全部預けられるだけの信頼性はどこにあるんでしょうかね、って話かと。
だから適切に管理すればと言ったのに。USB接続はパスワード管理のためだから独立した専用端末なら大丈夫。公衆wifiはパスワード入力なんかが必要だし、それでも不安なら電磁シールドするなりすればいい。ミルパス自体には電波を放出しなければならない機能はない。パチもののリスクについても同様。そもそもの要件(#3716258)がそういったメーカー側の悪意に対するものだからね。
そもそもそういった脆弱性があっても大丈夫なツールということで名前を挙げているのに脆弱性が無いことをどうやって保証するのか気にするということは、#3176274のいうとおり難癖つけたいだけなんですかね。
本人が秘匿させる事が可能。を追加で
パスワードと指紋の決定的な違いがこれで、指紋は本人が意図してなくてもものに触れるだけでそこらじゅうにばらまいてるし、無理やり採取することも可能だけど100%ただしい保証があるパスワードを無理やり奪うのは出来ないしな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
んなこと言っても (スコア:0)
そんなこと言ったって、先進国どころか発展途上国ですら一般ユーザーがオンラインで複数のサービスを使用するのなんて普遍的なことになってきてる世の中で
人間の覚えられるパスワード(特に複雑なもの)には上限があって、いちいち覚えきれない以上、共通化せざるを得ないのは仕方ないと思う
確かに使い回しが脆弱になるのは事実だろうが、だから使い回しはやめよう、でもパスワードの強度はしっかりね、なんて言われたって一般人には実践不可能
これってもうオンラインサービスという存在と、それを利用する人間の限界に依存するものだからどうしようもない
「交通事故が増えてきたから車に轢かれても死なない人間になろう」とか「交通事故が増えてきたから自動車は一切合切禁止しよう」とか今更無理な極論でしょ?ってのと同じ話
パスワード入力の補助ツールを使えば何とかなるけど、そういったツールが普及しはじめると、今度は脆弱性や悪意があった時のリスクが跳ね上がるだけじゃね?
「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたときに大丈夫なパスワード管理ツール」なんて存在しないしな
読み取り装置が一般に普及できる程度のコストで、誤検知率が極端に低い生体認証を開発するぐらいしかないと思うなぁ(逆にそれが作れたら一生遊んで暮らせるぐらいの金は入りそうなものだが)
Re: (スコア:0)
そうですね。iPhoneには指紋認証がついたのにサードパーティの
アプリではあまり使われていないようですが、なんなんでしょうね?
ユーザに負担を強いる前に、サービス提供側ができることを
全部やっているのか、と思います。
Re:んなこと言っても (スコア:2)
携帯の指紋認証はそのデバイスに以前に入力された指紋との比較結果を返すようになっているので、引継ぎにはやっぱりIDとパスワードが要るんじゃないでしょうか。
Re:んなこと言っても (スコア:1)
指紋認証は危険? スマホで指紋認証を使ってはいけない3つの理由
http://blog.avg.co.jp/2016/08/3reasons-not-to-use-fingerauth/ [avg.co.jp]
3番が意外な盲点。
指紋採取とか取り調べでは当たり前なので、パスワードでは強制アンロックできないスマホが、指紋認証可にしてるとあっさりアンロックされる危険。
つまり容易に使える生体認証だからこその問題点。
Re:んなこと言っても (スコア:1)
>つまり容易に使える生体認証だからこその問題点。
二段階認証や複数の手段を使った認証が安全なんすかね。
Re: (スコア:0)
指紋認証が必要とされるアプリが少ないからでは。
金融系の取引ができるアプリは使うべきだけど、それ以外に指紋認証が必要なアプリって何だろう?
自分が使ってるパスワード管理アプリはちゃんと対応してる。
それよりもっとアレなのは、iOSには、登録はSafariでだけど、ウェブ上でパスワードを生成してOS標準のストレージに暗号化して保存する機能(KeyChain)がある。
他のウェブブラウザなんかでも同様の機能はあるけど基本的にウェブ画面だけ。iOSだとアプリからでもそのパスワードを呼び出せる(Androidでも同様かな?)。けど、そのAPI使ってるアプリは極めて稀。
だから、現状だとブラウザのパスワード管理はブラウザ内でしか使えない、という残念仕様になってしまってる。
この辺もう少しきっちりやったら、本当にパスワードを覚える必要性は下がるんだけどな。
Re: (スコア:0)
> 「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたときに大丈夫なパスワード管理ツール」なんて存在しないしな
こういう半可通がセキュリティリスクになる。
Re: (スコア:0)
「ソフト開発者側の悪意で勝手に外部にパスワードを送信されたり、使ってるPC端末本体がマルウェア感染等で情報を引っこ抜かれたとき」
に大丈夫なパスワード管理ツールというのをご存じなのですか?
後学のためにご教示ください。
Re:んなこと言っても (スコア:2)
親コメは引っこ抜かれることを防止するためにツールを使わず、弱いパスワードを使い回すという方法を取ってますよね。
使い回すことによるリスクと引っこ抜かれるリスクのうち、後者を重くみることを元ACさんは「半可通」と言っているのでしょう。
管理ツールから抜かれるケースより、不適切なパスワードが破られるケースの方がより耳慣れているとは思います。
一つの弱いパスワードを使い回しても、平文パスワードを一つのパスワードで暗号化しても、破るのに最低限必要な資源は同じかもしれませんし。
Re: (スコア:0)
使い回されるリスクは特定のサービス(まあ複数が重複することはあるけど)にしか影響しないけど、漏洩するリスクは使用してる全部のサービスの情報が纏めて引っこ抜かれるから、比較するのは難しい。
あと管理ツールそのものが「まだ普及してないから」リスクが顕在化してないだけってのはある。
もうだいぶ昔の話だが「Windowsはウィルスに感染しやすい、Macは安全」みたいなネタが人口に膾炙していた時期もあったわけだし(システム的に安全だったわけではなく、単に母数が少なかったからクラッカーの攻撃対象にされにくかっただけなのに)
Re:んなこと言っても (スコア:2)
使い回しているパスワードが割られたら、使い回し先のサービスがすべて割られた状態になりますよね。
それではランダムなパスワードを生成して共通の対称暗号で暗号化している状態とほぼ同じです。
「一気にまとめて引っこ抜かれる」という"危険感"は管理ツールの方が高く思えるかもしれませんが、
それは実際に引っこ抜かれるリスクを評価しなければ分かりませんし、脆弱なパスワードや使い回しの
パスワードを設定している場合に比べて、少なくとも直ちに危険とは言えないですよ。
だったら、管理ツールに全部入れてサービスには完全にランダムなパスワードを設定したっていいんです。
少なくとも、覚えられる程度に複雑さを限定してしまうことの危険性はなくすことができます。
Re: (スコア:0)
うん?「使い回し」の意味わかってます?
全部のサービスで同じユーザID、パスワードを使うってことですよ。
使ってるサービスの内どっか一箇所がお漏らししたら使ってる全部のサービスのユーザID、パスワードが自動的にバレるってことです。
まあ攻撃者が知らんようなマイナーサイトは無事でしょうけども。
Re: (スコア:0)
パスワードはともかく、ユーザーIDって全部のサービスで同じものが使える(取れる)のか?
常識的に考えてユーザーIDって一意だから、新しいサービスが出るたびに片っ端からID取ってまわる奴でもない限り、同じIDを使い回すのって簡単じゃないと思うが。
まあメアドがユーザーIDになってるってシステムなら少なからずあるけど、せいぜいその程度じゃね?
Re: (スコア:0)
WEB上のサービスだとメアドをIDにするサービス多数。
その気になれば結構なサービスでIDとパスワードを同じに出来るよ。
後、昨今流行りの外部サービスによる認証でも結果的に同じ。
一か所抜けたら(って認証は一か所だけなんだけど)他もアクセス可能になっちまう。
Re:んなこと言っても (スコア:2)
私が使ってるだけでも、メールアドレスをIDに使うサービスは40件くらいありますね。ユーザIDを強制するところはその半分もないです。
ユーザIDは公開されるから、という理由でログインにはメールアドレスしか使えないサービスもありますね。
メモ帳に書いてた頃はこのうちの10以上で同じパスワードを使い回していたものです。漏れていたらどうなっていたでしょうか。はてさて。
Re: (スコア:0)
サイト毎にユーザーID変えてたら結局サイト毎のパスワードが覚えられないってのと同じ問題がユーザーIDについて起こるんじゃねーの?
Re: (スコア:0)
以前はユーザーIDだったのにメールアドレスに変更してるところも結構あるよね
Re: (スコア:0)
あ、知ってる。
どんなツールをあげても難癖つけてくるパターンだ。
Re: (スコア:0)
具体例を挙げられないくせに他人を半可通とか言っちゃってる半可通が開き直ってる典型ですね。
Re: (スコア:0)
ミルパス [kingjim.co.jp]なら適切に管理すれば大丈夫。
#ツールの概念が違う?
Re: (スコア:0)
それにUSB接続した時、むりやり外部からデータ読み取れる脆弱性やバックドアがついてないことが確認できるんですかね?あるいは公衆Wifiに勝手に繋いでデータ送信してないことは確認できるんですか?
キングジムなら割と大丈夫だろうとは思うけど、製造工場がチョンボやらかしてないとも限らないし、キングジム直販でもない限りはパチ物を掴まされるリスクもあるんですが。
自分の登録してるオンラインサイトのログイン情報、全部預けられるだけの信頼性はどこにあるんでしょうかね、って話かと。
Re: (スコア:0)
だから適切に管理すればと言ったのに。
USB接続はパスワード管理のためだから独立した専用端末なら大丈夫。
公衆wifiはパスワード入力なんかが必要だし、それでも不安なら電磁シールドするなりすればいい。
ミルパス自体には電波を放出しなければならない機能はない。
パチもののリスクについても同様。そもそもの要件(#3716258)がそういったメーカー側の悪意に対するものだからね。
そもそもそういった脆弱性があっても大丈夫なツールということで名前を挙げているのに
脆弱性が無いことをどうやって保証するのか気にするということは、#3176274のいうとおり難癖つけたいだけなんですかね。
Re: (スコア:0)
本人が秘匿させる事が可能。を追加で
パスワードと指紋の決定的な違いがこれで、指紋は本人が意図してなくてもものに触れるだけでそこらじゅうにばらまいてるし、無理やり採取することも可能だけど
100%ただしい保証があるパスワードを無理やり奪うのは出来ないしな