アカウント名:
パスワード:
IDを定期的に変えるのは難しいのでは?
本当は、ユーザ名(user id, user name 等) とログインIDは別にすべきですね。メールアカウントの場合ならメールアドレスはログインIDとしては使用しない、等。一部のISP等ではそのようになってたりしますが、少ないですね。
そうですね。パスワードとは別の話で、ログインIDを第三者が容易に知り得ることができないようにするというのは意味があります。
ID / PW 認証フォームで、しばしば「ID または PW に誤りがあります」と表示しているのはまさにこのためで、「ID が存在しない(間違っている)場合」と「単に PW が間違っている場合」を区別できないようにすることで、第三者(攻撃者)に情報を与えないようにしています。
ログインIDを秘密情報として扱うわけではないですが、保険的な防御策としては有効です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
パスワードはともかく (スコア:1)
IDを定期的に変えるのは難しいのでは?
Re: (スコア:1)
本当は、ユーザ名(user id, user name 等) とログインIDは別にすべきですね。
メールアカウントの場合ならメールアドレスはログインIDとしては使用しない、等。
一部のISP等ではそのようになってたりしますが、少ないですね。
[Q][W][E][R][T][Y]
Re:パスワードはともかく (スコア:0)
そうですね。パスワードとは別の話で、ログインIDを第三者が容易に知り得ることができないようにするというのは意味があります。
ID / PW 認証フォームで、しばしば「ID または PW に誤りがあります」と表示しているのはまさにこのためで、「ID が存在しない(間違っている)場合」と「単に PW が間違っている場合」を区別できないようにすることで、第三者(攻撃者)に情報を与えないようにしています。
ログインIDを秘密情報として扱うわけではないですが、保険的な防御策としては有効です。