パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ヤマト運輸のクロネコメンバーズサイトに不正アクセス、リスト型攻撃で情報漏洩」記事へのコメント

  • 定期的なパスワードの変更は不要ってのが最近の定説なのに
    それをユーザーに押し付けているあたり、結局ダメダメな感じ。
    • 冗談ではなく、いくつかのサービスは、「ID」を変えられる。

      パスワードの問題と勘違いしている人があまりにも多すぎるが、
      リスト型攻撃が成立しているのは、メールアドレスを複数用意することが面倒・難しいからであって、
      ログインIDにメールアドレスを使わせず、個々のサービスで別IDを設定できるようにしておけば、
      メールアドレスで名寄せされたリストに効果がなくなる。

      パスワードを変えるよりも安全。なぜかというと、リストから抜け出せるから。
      攻撃者はパスワードだけでなく、IDの探索から始めなければならなくなる(が、
      効率が悪いから、攻撃を受けにくくなる)。

      過去、そうやって(少なくとも一旦は)リスト型攻撃から抜け出したISPすらある。
      #例えばSo-netは、2011年にアカウントIDとメールアドレスを分離。
       当時はクラウドやAndroid…Googleアカウントがブレークし始めたばかりで、
       リスト型~なんて言葉でなく、 ”他人にユーザーIDやメールアドレスパスワードが
       容易に推測されやすい~”と、より汎用的で本質的な捉え方だった)

      なお、クロネコメンバーズも、他社ID連携せず、電子マネーを使っていなければ、IDを変えられる。
      というか、そもそも他社ID連携しないなら、メールアドレスをIDにする必要がない。

      私は、さらに、メールアドレスをIDにするサービスにおいて、
      メールアドレスのエイリアスをIDに使うことで、自前の「Sign in with Apple」みたいなことをやって、
      サービスごとにパスワードどころかIDを使い回さないようにしている。

      パスワードを使うことや、パスワードを使いまわすことが問題の本質じゃない。
      ”IDにメールアドレスを使い回している”ことが問題の本質だ。

      親コメント
      • by Anonymous Coward

        まあ、ちょっとセキュリティを齧った方なら誰でも一度は通る思考ですよね。後で読み返して恥ずかしくなるやつ。

        • by Anonymous Coward

          7Payではメールアドレスが知られていただけで情報が流出する状況だった。
          被害を免れる可能性があったのは、IDに使ったメールアドレスを他サービスで使ってなかった人だけ。

          メールアドレスをIDとして使い回さないことで被害を免れる実例があるということは、
          この方策がセキュリティ確保に有効だという証左。

          ちょっとセキュリティを齧っただけの実務知らずは、ID連携やメールアドレスID利用の「デメリット」を全く理解していない。
          リスト型攻撃は、メールアドレスをIDに使いまわすようになってから顕著になった、という歴史がある。
          デメリ

          • by Anonymous Coward

            ちょっとセキュリティを齧っただけの理論知らずは、IDは秘匿情報ではないという前提を知れないのだな。
            こうして我流で作られるかんたんログインが理論屋の一突きで崩壊し、発案者は渦中で混乱するばかりで責任は取らないというわけだ。

            • by Anonymous Coward

              「IDを知られたら情報漏洩の確率に影響する」事実は、「IDは秘匿情報ではない」こととなんら反しない。

              あなたは情報理論どころか条件付き確率すらも判ってなかったんだね。

              • by Anonymous Coward

                それを勘案する態度がいかんのよ。

      • by Anonymous Coward

        私も、まさにこの考えを持っていて、パスワードは覚えていられないのでIDを変えています。
        メールアドレスをアカウントに要求してくるところは、そのたびににgmailを用意しています。
        アカウントを忘れないのかというと、サイトに紐づけした文字ルールを用意して、さらに自分の中で強固と思える文字数字と組み合わせるので忘れることもなし。
        ただ、通販サイト系はパスワードも別にして、他サイトのパスワードとかぶらないようにはしています。
        意外にもパスワードは辞書攻撃くらいそうな単語+数字です。

        たびたび、漏洩ニュースになったサイトに登録していたけど、今のところ30年無事故だから大丈夫なのかな。
        メアド変えてる結果、登録するとすぐ詐欺メールが飛んでくるところとかは縁切りしやすいので重宝しています。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...