アカウント名:
パスワード:
秘密の質問ってパスワードと同程度のエントロピーのランダムな文字列にするのが常識なんじゃないの?さすがに最近廃れてきたから、未だに求めてくるサイトはそれだけで要注意扱いにしてるけど。
5月から秘密の質問を導入する三菱UFJ銀行さんが要注意だとぉhttps://www.bk.mufg.jp/houjin/mufg_biz_info/index.html [bk.mufg.jp]
秘密の質問とかパスワード定期変更とか古いセキュリティの実装を禁止する仕組みが必要
短いパスワード(例えば12文字以内とか)しか受け付けないものも排除して欲しい。
ハッシュ値で保存せず生パスワードを保存しているんじゃないかと思いますよ。
有名なサービスですが、確か10年くらい前まで、生年月日と秘密の質問に答えるだけでパスワードをリセットできるものがあった。
本人の知り合いであれば、生年月日は秘密ではない場合が多いし、秘密の質問も「出身地」は知っていることがある。「初めて海外旅行に行った国」も、「初めての海外旅行人気ランキング」のようなリストをウェッブで調べれば、大体わかる。
#同僚から「パスワードが勝手に変更された」と連絡があって調べました。
10年前はSSL保護すら普及していなかったですからね2018年にもなってそれをやってる金融サービスがあったのは驚きでしたが
「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス [security.srad.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
パスワードと同程度のエントロピー (スコア:0)
秘密の質問ってパスワードと同程度のエントロピーのランダムな文字列にするのが常識なんじゃないの?
さすがに最近廃れてきたから、未だに求めてくるサイトはそれだけで要注意扱いにしてるけど。
Re:パスワードと同程度のエントロピー (スコア:1)
5月から秘密の質問を導入する三菱UFJ銀行さんが要注意だとぉ
https://www.bk.mufg.jp/houjin/mufg_biz_info/index.html [bk.mufg.jp]
Re: (スコア:0)
秘密の質問とかパスワード定期変更とか古いセキュリティの実装を禁止する仕組みが必要
Re: (スコア:0)
短いパスワード(例えば12文字以内とか)しか受け付けないものも排除して欲しい。
ハッシュ値で保存せず生パスワードを保存しているんじゃないかと思いますよ。
Re: (スコア:0)
有名なサービスですが、確か10年くらい前まで、生年月日と秘密の質問に答えるだけでパスワードをリセットできるものがあった。
本人の知り合いであれば、生年月日は秘密ではない場合が多いし、秘密の質問も「出身地」は知っていることがある。
「初めて海外旅行に行った国」も、「初めての海外旅行人気ランキング」のようなリストをウェッブで調べれば、大体わかる。
#同僚から「パスワードが勝手に変更された」と連絡があって調べました。
Re: (スコア:0)
10年前はSSL保護すら普及していなかったですからね
2018年にもなってそれをやってる金融サービスがあったのは驚きでしたが
「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス [security.srad.jp]