アカウント名:
パスワード:
パスワードの使い回しをされてたら桁数制限の効果は、ほぼ無いですよね。
そんな事言って、「他サービスと同じパスワードが設定できなくするように」と言う通達でも出したら失笑するんでしょ?
それはさすがに失笑する。どうやって実装するんだろう。パスワード登録時に他サービスにアクセスして「ご入力のパスワードで他サービスにログインできたので、登録できません」とか? ダメだよなあ。
パスワードをユーザに作成させなければ良いと思ってます。乱数生成したものを発行し、それを使わせるだけ。パスワードの再発行も同様に。
ただし、これを暗記、手入力はさすがに難しいので、ブラウザのパスポートマネージャに記憶させるために、発行時に一度、ログインフォームに最初からvalue値を設定して、ユーザにログインさせれば、今の大抵のサービスより使い勝手も向上するかと思います。
モダンなWebブラウザはパスワードマネージャが搭載されていますし、端末間での共有もサポートされているものが多いので、複数のデバイスでのアクセスも問題無いと思います。
また、パスワードマネージャの利用を阻害しないように、パスワードだけを問い合わせるようなログインフォームを作らないように、注意が必要だと思います。
サービス間で共用は駄目だけど、端末間での共有の共有はOKと言うのが理解できません。○○銀行のサービスは危険で、Google/Mozillaのサービスなら安全と言うことでしょうか?
端末間で共有しても、リスト攻撃にあいません。
銀行間で共有しても漏れなきゃリスト攻撃にあいませんよ?パスワードマネージャなどで共有する場合、大抵GoogleなりMozillaなり何らかのサーバを介しますが、そこで漏れることは想定されてませんか?
おっしゃることは正論なのですが、八文字「以下」しか認めないとか、数字しか認めないなどと言っている銀行に比べて、普通に常識的なパスワードが設定できて、ちゃんと暗号化されて保存されていることが自分で確認できるブラウザ、どっちが信用できるかと言われたら、僕は断然ブラウザの方を支持します。
パスワードを共有すると、共有している中で一番弱いところから漏れるのになんで銀行しか出てこないんですか?
銀行は例だし、どっちが危険か?と言う話をしてる訳じゃないんですがね。
二者択一じゃなく両方選ぶ/選ばないという選択肢もあるのですよ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
桁数制限の効果 (スコア:1)
パスワードの使い回しをされてたら桁数制限の効果は、ほぼ無いですよね。
Re: (スコア:1)
そんな事言って、
「他サービスと同じパスワードが設定できなくするように」
と言う通達でも出したら失笑するんでしょ?
Re: (スコア:0)
それはさすがに失笑する。
どうやって実装するんだろう。
パスワード登録時に他サービスにアクセスして
「ご入力のパスワードで他サービスにログインできたので、登録できません」とか? ダメだよなあ。
Re: (スコア:2)
パスワードをユーザに作成させなければ良いと思ってます。乱数生成したものを発行し、それを使わせるだけ。パスワードの再発行も同様に。
ただし、これを暗記、手入力はさすがに難しいので、ブラウザのパスポートマネージャに記憶させるために、発行時に一度、ログインフォームに最初からvalue値を設定して、ユーザにログインさせれば、今の大抵のサービスより使い勝手も向上するかと思います。
モダンなWebブラウザはパスワードマネージャが搭載されていますし、端末間での共有もサポートされているものが多いので、複数のデバイスでのアクセスも問題無いと思います。
また、パスワードマネージャの利用を阻害しないように、パスワードだけを問い合わせるようなログインフォームを作らないように、注意が必要だと思います。
Re: (スコア:0)
サービス間で共用は駄目だけど、端末間での共有の共有はOKと言うのが理解できません。
○○銀行のサービスは危険で、Google/Mozillaのサービスなら安全と言うことでしょうか?
Re:桁数制限の効果 (スコア:0)
端末間で共有しても、リスト攻撃にあいません。
Re: (スコア:0)
銀行間で共有しても漏れなきゃリスト攻撃にあいませんよ?
パスワードマネージャなどで共有する場合、大抵GoogleなりMozillaなり何らかのサーバを介しますが、
そこで漏れることは想定されてませんか?
Re:桁数制限の効果 (スコア:1)
おっしゃることは正論なのですが、八文字「以下」しか認めないとか、数字しか認めないなどと言っている銀行に比べて、
普通に常識的なパスワードが設定できて、ちゃんと暗号化されて保存されていることが自分で確認できるブラウザ、どっちが信用できるかと言われたら、僕は断然ブラウザの方を支持します。
Re: (スコア:0)
パスワードを共有すると、共有している中で一番弱いところから漏れるのになんで銀行しか出てこないんですか?
Re: (スコア:0)
銀行は例だし、どっちが危険か?と言う話をしてる訳じゃないんですがね。
二者択一じゃなく両方選ぶ/選ばないという選択肢もあるのですよ?