アカウント名:
パスワード:
冗談ではなく、いくつかのサービスは、「ID」を変えられる。
パスワードの問題と勘違いしている人があまりにも多すぎるが、リスト型攻撃が成立しているのは、メールアドレスを複数用意することが面倒・難しいからであって、ログインIDにメールアドレスを使わせず、個々のサービスで別IDを設定できるようにしておけば、メールアドレスで名寄せされたリストに効果がなくなる。
パスワードを変えるよりも安全。なぜかというと、リストから抜け出せるから。攻撃者はパスワードだけでなく、IDの探索から始めなければならなくなる(が、効率が悪いから、攻撃を受けにくくなる)。
過去、そうやって(少なくとも一旦は)リスト型攻撃から抜け出したISPすらある。#例えばSo-netは、2011年にアカウントIDとメールアドレスを分離。 当時はクラウドやAndroid…Googleアカウントがブレークし始めたばかりで、 リスト型~なんて言葉でなく、 ”他人にユーザーIDやメールアドレスパスワードが 容易に推測されやすい~”と、より汎用的で本質的な捉え方だった)
なお、クロネコメンバーズも、他社ID連携せず、電子マネーを使っていなければ、IDを変えられる。というか、そもそも他社ID連携しないなら、メールアドレスをIDにする必要がない。
私は、さらに、メールアドレスをIDにするサービスにおいて、メールアドレスのエイリアスをIDに使うことで、自前の「Sign in with Apple」みたいなことをやって、サービスごとにパスワードどころかIDを使い回さないようにしている。
パスワードを使うことや、パスワードを使いまわすことが問題の本質じゃない。”IDにメールアドレスを使い回している”ことが問題の本質だ。
まあ、ちょっとセキュリティを齧った方なら誰でも一度は通る思考ですよね。後で読み返して恥ずかしくなるやつ。
7Payではメールアドレスが知られていただけで情報が流出する状況だった。被害を免れる可能性があったのは、IDに使ったメールアドレスを他サービスで使ってなかった人だけ。
メールアドレスをIDとして使い回さないことで被害を免れる実例があるということは、この方策がセキュリティ確保に有効だという証左。
ちょっとセキュリティを齧っただけの実務知らずは、ID連携やメールアドレスID利用の「デメリット」を全く理解していない。リスト型攻撃は、メールアドレスをIDに使いまわすようになってから顕著になった、という歴史がある。デメリ
ちょっとセキュリティを齧っただけの理論知らずは、IDは秘匿情報ではないという前提を知れないのだな。こうして我流で作られるかんたんログインが理論屋の一突きで崩壊し、発案者は渦中で混乱するばかりで責任は取らないというわけだ。
「IDを知られたら情報漏洩の確率に影響する」事実は、「IDは秘匿情報ではない」こととなんら反しない。
あなたは情報理論どころか条件付き確率すらも判ってなかったんだね。
それを勘案する態度がいかんのよ。
私も、まさにこの考えを持っていて、パスワードは覚えていられないのでIDを変えています。メールアドレスをアカウントに要求してくるところは、そのたびににgmailを用意しています。アカウントを忘れないのかというと、サイトに紐づけした文字ルールを用意して、さらに自分の中で強固と思える文字数字と組み合わせるので忘れることもなし。ただ、通販サイト系はパスワードも別にして、他サイトのパスワードとかぶらないようにはしています。意外にもパスワードは辞書攻撃くらいそうな単語+数字です。
たびたび、漏洩ニュースになったサイトに登録していたけど、今のところ30年無事故だから大丈夫なのかな。メアド変えてる結果、登録するとすぐ詐欺メールが飛んでくるところとかは縁切りしやすいので重宝しています。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
定期的なパスワードの変更 (スコア:3)
それをユーザーに押し付けているあたり、結局ダメダメな感じ。
パスワードがダメならIDを変えればいいじゃない by マリー・アントワネット(偽) (スコア:1)
冗談ではなく、いくつかのサービスは、「ID」を変えられる。
パスワードの問題と勘違いしている人があまりにも多すぎるが、
リスト型攻撃が成立しているのは、メールアドレスを複数用意することが面倒・難しいからであって、
ログインIDにメールアドレスを使わせず、個々のサービスで別IDを設定できるようにしておけば、
メールアドレスで名寄せされたリストに効果がなくなる。
パスワードを変えるよりも安全。なぜかというと、リストから抜け出せるから。
攻撃者はパスワードだけでなく、IDの探索から始めなければならなくなる(が、
効率が悪いから、攻撃を受けにくくなる)。
過去、そうやって(少なくとも一旦は)リスト型攻撃から抜け出したISPすらある。
#例えばSo-netは、2011年にアカウントIDとメールアドレスを分離。
当時はクラウドやAndroid…Googleアカウントがブレークし始めたばかりで、
リスト型~なんて言葉でなく、 ”他人にユーザーIDやメールアドレスパスワードが
容易に推測されやすい~”と、より汎用的で本質的な捉え方だった)
なお、クロネコメンバーズも、他社ID連携せず、電子マネーを使っていなければ、IDを変えられる。
というか、そもそも他社ID連携しないなら、メールアドレスをIDにする必要がない。
私は、さらに、メールアドレスをIDにするサービスにおいて、
メールアドレスのエイリアスをIDに使うことで、自前の「Sign in with Apple」みたいなことをやって、
サービスごとにパスワードどころかIDを使い回さないようにしている。
パスワードを使うことや、パスワードを使いまわすことが問題の本質じゃない。
”IDにメールアドレスを使い回している”ことが問題の本質だ。
Re: (スコア:0)
まあ、ちょっとセキュリティを齧った方なら誰でも一度は通る思考ですよね。後で読み返して恥ずかしくなるやつ。
Re: (スコア:0)
7Payではメールアドレスが知られていただけで情報が流出する状況だった。
被害を免れる可能性があったのは、IDに使ったメールアドレスを他サービスで使ってなかった人だけ。
メールアドレスをIDとして使い回さないことで被害を免れる実例があるということは、
この方策がセキュリティ確保に有効だという証左。
ちょっとセキュリティを齧っただけの実務知らずは、ID連携やメールアドレスID利用の「デメリット」を全く理解していない。
リスト型攻撃は、メールアドレスをIDに使いまわすようになってから顕著になった、という歴史がある。
デメリ
Re: (スコア:0)
ちょっとセキュリティを齧っただけの理論知らずは、IDは秘匿情報ではないという前提を知れないのだな。
こうして我流で作られるかんたんログインが理論屋の一突きで崩壊し、発案者は渦中で混乱するばかりで責任は取らないというわけだ。
Re: (スコア:0)
「IDを知られたら情報漏洩の確率に影響する」事実は、「IDは秘匿情報ではない」こととなんら反しない。
あなたは情報理論どころか条件付き確率すらも判ってなかったんだね。
Re: (スコア:0)
それを勘案する態度がいかんのよ。
Re: (スコア:0)
私も、まさにこの考えを持っていて、パスワードは覚えていられないのでIDを変えています。
メールアドレスをアカウントに要求してくるところは、そのたびににgmailを用意しています。
アカウントを忘れないのかというと、サイトに紐づけした文字ルールを用意して、さらに自分の中で強固と思える文字数字と組み合わせるので忘れることもなし。
ただ、通販サイト系はパスワードも別にして、他サイトのパスワードとかぶらないようにはしています。
意外にもパスワードは辞書攻撃くらいそうな単語+数字です。
たびたび、漏洩ニュースになったサイトに登録していたけど、今のところ30年無事故だから大丈夫なのかな。
メアド変えてる結果、登録するとすぐ詐欺メールが飛んでくるところとかは縁切りしやすいので重宝しています。