アカウント名:
パスワード:
「秘密の質問」でのパスワードリセット機構も禁止にしてほしい。
あれの答えが漏洩すると意味がない上、「秘密の質問」の回答を修正できないシステムも少なからずあり、恒久的にリスクに晒されることになる。(まあ「最初に飼ったペットの名前」とか「卒業した小学校」とか、まず変わらんのは事実だけど)
そうでなくとも身近な人経由やソーシャルエンジニアリングで漏洩するリスクもあるんだから、ユーザーを危険に晒している点では、かなり害悪な筈なのだが。
# 適当な文字いれても他サイトと共有したら漏洩対策の意味がないし# サイトごとに「秘密の質問」の回答を記録して管理するなら個別のパスワードで事足りる
正しい答えを入力しちゃのがいけないんだよ。あれは第二のパスワードとして扱う項目。「卒業した小学校」→「家から徒歩20分、坂の上の学校」みたいに入力すべき。
なんて適当に入れてたら不正アクセスの疑いでアカウントロック→運営に身分証明書を要求され→生年月日など身分証と一致しないからロック解除できずと、正しいパスワード分かるのにアクセスできなくなることもあるけどさw
#生年月日とメアドでリセットとかもやめて
質問も入れられると良いと思ってるんだよねそんで質問も見せてくれるの
そしたら「hogehoge.comにいつのもソルトを添えてハッシュ」とか書けるのに
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
ついでに (スコア:0)
「秘密の質問」でのパスワードリセット機構も禁止にしてほしい。
あれの答えが漏洩すると意味がない上、「秘密の質問」の回答を修正できないシステムも少なからずあり、恒久的にリスクに晒されることになる。
(まあ「最初に飼ったペットの名前」とか「卒業した小学校」とか、まず変わらんのは事実だけど)
そうでなくとも身近な人経由やソーシャルエンジニアリングで漏洩するリスクもあるんだから、ユーザーを危険に晒している点では、かなり害悪な筈なのだが。
# 適当な文字いれても他サイトと共有したら漏洩対策の意味がないし
# サイトごとに「秘密の質問」の回答を記録して管理するなら個別のパスワードで事足りる
Re: (スコア:0)
正しい答えを入力しちゃのがいけないんだよ。あれは第二のパスワードとして扱う項目。
「卒業した小学校」→「家から徒歩20分、坂の上の学校」みたいに入力すべき。
なんて適当に入れてたら不正アクセスの疑いでアカウントロック→運営に身分証明書を要求され→生年月日など身分証と一致しないからロック解除できずと、正しいパスワード分かるのにアクセスできなくなることもあるけどさw
#生年月日とメアドでリセットとかもやめて
Re:ついでに (スコア:1)
質問も入れられると良いと思ってるんだよね
そんで質問も見せてくれるの
そしたら「hogehoge.comにいつのもソルトを添えてハッシュ」とか書けるのに