パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス」記事へのコメント

  • by Anonymous Coward

    ってことで、セキュリティ高いんですよ。と、皮肉を込めながらも有効活用させてもらってる。
    完全にランダムなパスワードを登録してるから、本当に正しい答えを知ってる家族なんかもアクセス不能。

    • by Anonymous Coward

      両方入れないと通らないならともかく片方でいいので
      どちらか突破されたら終わるって意味では
      強度は下がりこそすれ上がることはないんじゃないかと…

      • by Anonymous Coward on 2018年04月21日 4時42分 (#3396549)

        本来は、両方知らないと重要な操作ができないようにしたり、パスワードの再発行のリクエストを利用者以外には困難にしたりするためのもののはず。

        (「パスワードを知っている」 || 「登録されたメールアカウントを利用可能である」) && 「秘密の質問を知っている」

        この条件を満たさなければ利用できないようにするなら、秘密の質問で安全性が高まるが、

        「パスワードを知っている」 || 「登録されたメールアカウントを利用可能である」 || 「秘密の質問を知っている」

        とかなっていたら、秘密の質問は危険を増大させるものでしかない。今回の件もそうだけど、秘密の質問とパスワードの本質的な違いを理解していない人が、運営側にも、利用者側にも多そう。

        親コメント
        • by Anonymous Coward

          たぶんあなたも分かってない。秘密の質問は擬似本人確認で、確認の確度が低すぎるところが問題。本質的な違いはSomething you knowとsomething you haveとsomething you areの違いなんだけど、問題はそんなところではなくてSYAのつもりでSYKなところ、しかもsomething everyone knowsなところが問題。

          だからランダム文字列を入れてせめてSYKにしてやれって技術者が出てくる。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...