アカウント名:
パスワード:
なんかの拍子に一回だけ使ったシステムに登録されてすっかり忘れ去っているアカウント入れたら100は超えそう。それは数えられないし、未だに有効かどうかもわからないけど。退会してカードが無効化されて使えないはずのT-Pointから未だにメールが飛んできててそのまま削除してるけど、ユーザが利用できない状態でアカウント自体は有効なのかな。
>普通に生活していればアカウントの100や200はあるんだから、使い回すか管理ツールを使うしかない。
賢明な方なら、アカウントを作る度にメモか管理ソフトに情報入れておくんだろうなぁ。ネット経由でいろんなシステムを使うのが常識になっている今どきの人ならアタリマエなのかもしれない。
関係ないけど「秘密の質問」は設定してもほぼ忘れてしまうので役に立ってない>じぶん素直に答えるとモロバレになるからフェイクを混ぜて、結果的に忘れてしまう>じぶんあたまわるいなどんな質問でも同じ解答を設定しておけば良いんだろうけど。
秘密の質問に答えてはいけない。秘密の質問に答えてはいけない。あれはクオカード500円券発行システムだ。技術的に言えば秘密の質問システムを突破されれば設定させる方に100%責任がある。
秘密の質問欄には、欄の文字数制限一杯までパスワードを生成して入れとけ。全角制限があれば定型文ではない適当な文章からコピペしてこい。jbeefが言っているような辞書から拾った単語の連続でも構わない。とにかくユーザアカウントに紐付いた事実を混ぜるのはやめろ。
「秘密の質問に正解するとログインできてしまうシステム」はアウトだけど、「秘密の質問に正解すると登録されたメールアドレスにアクセスすべきURLが書かれたメールが飛んでくる」ならまあアリじゃないかな。複数要件が絡むシステムで要件1つにアリナシ言うのって危険だよね。
その例で言えばパスワードリセットは登録メールアドレスの確認だけでよい。
秘密の質問は「誰でも成り済ませる疑似本人確認」で、存在すること自体が問題。免許証の本体ではなくあえてカラーコピーを確認しているくらいに異常なもの。SYKかSYHかSYAかで言えば、something everyone knows by the way it is。緩和策として、指示を無視してランダム文字列を入れることで辛うじてSYKにアップグレードできる。それも平文が保存されていて照合するようになっていれば効果は薄い。
本人確認が必要ならば本人確認をすべき。本人確認と誤認させる脆弱なパスワード認証の一形態である以上はどう使っても害悪でしかない。「第二パスワード」と呼ぶならば構わない。それのリセット経路を考えたくなかったから疑似本人確認でごまかしたのが発祥なのだろうけど。
他要素の認証なしでメールリセットだけだと、メアドが乗っ取られたら無条件に即死するので、それとは別のワンクッションを挟むことには意義があると思うけど?
特に、皆がPOP3でメールをダウンロードしてサーバーにはあまり残さなかった(容量的に残せなかった)時代ならいざ知らず。WEBメールや複数デバイスでの同期のためにサーバーに全部溜め込むのが当たり前になった現状では、メールアドレスへのアクセスだけでアカウントを奪取できると、使ってるサービスとIDが登録メールから即バレて、被害が拡大するだけでしょ。
と言うかそこまでのガードが必要なのは金銭が絡むサービスだけだと思うのどうでもいい無償のWebサービスや支払い情報を記憶しない商用サービスにまで過剰にそういうの求めるところがあるのはどうかと思う
そういうところが気になって気になって気になって仕方ないガイジもおるんやで
サービス提供者が今後金銭に絡むサービスを開始する「つもり」というのもあるので難しいんじゃないですかね。
「秘密の質問」ってのは人に漏らした時点で秘密じゃなくなるんだけど、秘密を共有できる関係(それも一方的)という態度を安易にとる神経が好きになれない。
そんな重要なサービスに利用しているメアドが乗っ取られた時点で既に詰んでるよ。
ダメだ。パスワードリセットに本人確認が求められるなら、本人確認をするべきだ。リセット専用固定パスワードは本人確認ではないのだから代用にはならない。手順がややこしいだから安全だろうというのは突破口を開ける悪手だ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
忘れているアカウント (スコア:2, 参考になる)
なんかの拍子に一回だけ使ったシステムに登録されてすっかり忘れ去っているアカウント入れたら100は超えそう。
それは数えられないし、未だに有効かどうかもわからないけど。
退会してカードが無効化されて使えないはずのT-Pointから未だにメールが飛んできててそのまま削除してるけど、ユーザが利用できない状態でアカウント自体は有効なのかな。
>普通に生活していればアカウントの100や200はあるんだから、使い回すか管理ツールを使うしかない。
賢明な方なら、アカウントを作る度にメモか管理ソフトに情報入れておくんだろうなぁ。
ネット経由でいろんなシステムを使うのが常識になっている今どきの人ならアタリマエなのかもしれない。
関係ないけど「秘密の質問」は設定してもほぼ忘れてしまうので役に立ってない>じぶん
素直に答えるとモロバレになるからフェイクを混ぜて、結果的に忘れてしまう>じぶんあたまわるいな
どんな質問でも同じ解答を設定しておけば良いんだろうけど。
Re: (スコア:1, 参考になる)
秘密の質問に答えてはいけない。
秘密の質問に答えてはいけない。
あれはクオカード500円券発行システムだ。技術的に言えば秘密の質問システムを突破されれば設定させる方に100%責任がある。
秘密の質問欄には、欄の文字数制限一杯までパスワードを生成して入れとけ。全角制限があれば定型文ではない適当な文章からコピペしてこい。jbeefが言っているような辞書から拾った単語の連続でも構わない。とにかくユーザアカウントに紐付いた事実を混ぜるのはやめろ。
Re: (スコア:2)
「秘密の質問に正解するとログインできてしまうシステム」はアウトだけど、
「秘密の質問に正解すると登録されたメールアドレスにアクセスすべきURLが書かれたメールが飛んでくる」ならまあアリじゃないかな。
複数要件が絡むシステムで要件1つにアリナシ言うのって危険だよね。
Re: (スコア:0)
その例で言えばパスワードリセットは登録メールアドレスの確認だけでよい。
秘密の質問は「誰でも成り済ませる疑似本人確認」で、存在すること自体が問題。免許証の本体ではなくあえてカラーコピーを確認しているくらいに異常なもの。SYKかSYHかSYAかで言えば、something everyone knows by the way it is。緩和策として、指示を無視してランダム文字列を入れることで辛うじてSYKにアップグレードできる。それも平文が保存されていて照合するようになっていれば効果は薄い。
本人確認が必要ならば本人確認をすべき。本人確認と誤認させる脆弱なパスワード認証の一形態である以上はどう使っても害悪でしかない。「第二パスワード」と呼ぶならば構わない。それのリセット経路を考えたくなかったから疑似本人確認でごまかしたのが発祥なのだろうけど。
Re:忘れているアカウント (スコア:1)
他要素の認証なしでメールリセットだけだと、メアドが乗っ取られたら無条件に即死するので、それとは別のワンクッションを挟むことには意義があると思うけど?
特に、皆がPOP3でメールをダウンロードしてサーバーにはあまり残さなかった(容量的に残せなかった)時代ならいざ知らず。
WEBメールや複数デバイスでの同期のためにサーバーに全部溜め込むのが当たり前になった現状では、メールアドレスへのアクセスだけでアカウントを奪取できると、使ってるサービスとIDが登録メールから即バレて、被害が拡大するだけでしょ。
Re: (スコア:0)
と言うかそこまでのガードが必要なのは金銭が絡むサービスだけだと思うの
どうでもいい無償のWebサービスや支払い情報を記憶しない商用サービスにまで
過剰にそういうの求めるところがあるのはどうかと思う
Re: (スコア:0)
そういうところが気になって気になって気になって仕方ないガイジもおるんやで
Re: (スコア:0)
サービス提供者が今後金銭に絡むサービスを開始する「つもり」というのもあるので難しいんじゃないですかね。
「秘密の質問」ってのは人に漏らした時点で秘密じゃなくなるんだけど、秘密を共有できる関係(それも一方的)という態度を安易にとる神経が好きになれない。
Re: (スコア:0)
そんな重要なサービスに利用しているメアドが乗っ取られた時点で既に詰んでるよ。
Re: (スコア:0)
ダメだ。パスワードリセットに本人確認が求められるなら、本人確認をするべきだ。リセット専用固定パスワードは本人確認ではないのだから代用にはならない。
手順がややこしいだから安全だろうというのは突破口を開ける悪手だ。