アカウント名:
パスワード:
アメブロの騒動、あとからおいついたので現物見てませんが、状況から見てIDとパスワードが平文で保存されてたってことでしょうな。時折サービス登録するとパスワードが平文で送られてきたり「ハッシュしないで保管してるっぽいなー」ってとこがあるんですが、これはなぜなんでしょう?# アメブロの場合は芸能人ブログだけ特別扱いで管理してたのかもしれませんけど
流石にハッシュ後を保存するって教科書レベルの話を知らない開発者が居るとは思えないので、なんか理由があるんだと思いますが……「パスワードは聞けば教えてくれるはずだ」みたいなユーザが多いから?
何らかの理由で「こんな実装したくないのに……」と苦汁を飲んだ開発者が/.Jに居れば、こっそり教えてください:-)
だから、1、なるべく一般公開してないE-mailアドレスを使う。2、生年月日や母の旧姓など、プライベートな質問への答も同時に入力させる。くらいの仕組みは必要なんでしょうね。
ニュースサイトくらいなら平文送付でもいいと思うけど、amazonみたいな通販サイトだとリセット&URL送付の方がいいと思うな。
>2、生年月日や母の旧姓など、プライベートな質問への答も同時に入力させる。
これってセキュリティホールになりやすくないですか?一般人でもちょっと調べればわかりそうだったり、有名人ならそれこそWikipediaに書かれていそうな情報が多そうだし。まぁ、普通はそれを見越して更に自分だけにわかる答えを設定するんだろうけど。こういう設定を求められるといつもちょっといやになる。
以前アメリカの誰だったか要人でこれのせいでパスが漏れた件ってなかったっけ?
ある意味要人なTwitterの管理者のバスワードが昨年漏れてましたね [itmedia.co.jp]。
そういやもう昨年なんだなー。
たいていは質問に正解した時にパスワードが画面に出てくるわけじゃなくて本人のメールアドレスに送信されるから、セキュリティ強度はメールクライアントの管理状態によりますね。
たいていは嘘と言うか、違う答えを入れますけど。それゆえに忘れやすいという欠点があります。
最近は母親の旧姓に好きなフルーツを入れるとかいうふうにしています。(↑もちろんこれも偽情報)
偽の回答を覚えているくらいなら、パスワードも忘れないわな。あなたは本当に「アタマ」がいいんだねぇ‥‥。あ、皮肉じゃなしにマジでマジで。ハハッ(笑
あなたの「好きなフルーツ」が偽情報なのはわかりましたが、そもそも「好きなフルーツ」ってソーシャルエンジニアリングに使えるほど、周囲に知られている情報なのでしょうか。(家族以外に)そう言う話、します?そして、他人のそれを覚えています?
まあ、ここでプライベートな情報をさらしておくと、私の好きな三大フルーツは、桃、蜜柑、バナナですが。
好きな食べものの話って無駄話的にけっこうしてますよ。酒も飲まないし、ギャンブルや合コンや風俗とかも行かなくて趣味以外での適当な話題といえば食べることとか天気の話になっちゃいやすいですね。まぁ、それを覚えているかどうかは対象への興味の度合いや話のインパクトにもよると思いますけど。
確かに他人の好きなフルーツなんてよほど親しい人やよく一緒に食事をする人くらいしか分からないですね。
私の好きな三大フルーツは・・・ビワ、スイカ、柿。たまにこれらの中の一つを一シーズン毎日食べていたという話を周りに何度かしたことがあるので、中には覚えている人がいるかもしれません。
もちろんどれもそのままではパスフレーズには使いませんけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
未だに時々パスワードを平文で保存してるところがあるけど (スコア:3, 興味深い)
アメブロの騒動、あとからおいついたので現物見てませんが、状況から見てIDとパスワードが平文で保存されてたってことでしょうな。
時折サービス登録するとパスワードが平文で送られてきたり「ハッシュしないで保管してるっぽいなー」ってとこがあるんですが、これはなぜなんでしょう?
# アメブロの場合は芸能人ブログだけ特別扱いで管理してたのかもしれませんけど
流石にハッシュ後を保存するって教科書レベルの話を知らない開発者が居るとは思えないので、なんか理由があるんだと思いますが……
「パスワードは聞けば教えてくれるはずだ」みたいなユーザが多いから?
何らかの理由で「こんな実装したくないのに……」と苦汁を飲んだ開発者が/.Jに居れば、こっそり教えてください:-)
Re: (スコア:1)
パスワードを忘れた場合、ランダム生成した一時パスワードを登録メールアドレスに送付する仕組みも作りました。
こちらで(開発側で)用意したメール文言は「一時的なパスワードです。3日以内にログインして設定し直してね」というものでしたが、これが絶不評。
パスワード変更が面倒だの、期間が3日では短すぎるだの、まあ、出るわ出るわ……。
結局、ユーザの入力したパスワードをそのまま送付する仕組みに変更する事になりました。
(パスワードを平文で流すことよりも、ユーザの利便の方が重要な事らしいです)
notice : I ignore an anonymous contribution.
Re: (スコア:1)
嫌いなあいつのパスワードを1時間毎に書き換えてやることもできちゃう。
というわけで、自分はもっぱら変更するためのURLをメールでお知らせする形ですね。
Re: (スコア:0)
だから、
1、なるべく一般公開してないE-mailアドレスを使う。
2、生年月日や母の旧姓など、プライベートな質問への答も同時に入力させる。
くらいの仕組みは必要なんでしょうね。
ニュースサイトくらいなら平文送付でもいいと思うけど、
amazonみたいな通販サイトだとリセット&URL送付の方がいいと思うな。
Re:未だに時々パスワードを平文で保存してるところがあるけど (スコア:1)
>2、生年月日や母の旧姓など、プライベートな質問への答も同時に入力させる。
これってセキュリティホールになりやすくないですか?
一般人でもちょっと調べればわかりそうだったり、有名人ならそれこそWikipediaに書かれていそうな情報が多そうだし。
まぁ、普通はそれを見越して更に自分だけにわかる答えを設定するんだろうけど。
こういう設定を求められるといつもちょっといやになる。
以前アメリカの誰だったか要人でこれのせいでパスが漏れた件ってなかったっけ?
Re:未だに時々パスワードを平文で保存してるところがあるけど (スコア:2)
ある意味要人なTwitterの管理者のバスワードが昨年漏れてましたね [itmedia.co.jp]。
そういやもう昨年なんだなー。
Re: (スコア:0)
たいていは質問に正解した時にパスワードが画面に出てくるわけじゃなくて本人のメールアドレスに
送信されるから、セキュリティ強度はメールクライアントの管理状態によりますね。
Re: (スコア:0)
「あなたの好きな食べ物は?」と云う設問に「うんこ」でも問題無し。
ひょっとして、GmailやYahooメールとかの登録時に、みんな本当の事を入力してるのか?
Re:未だに時々パスワードを平文で保存してるところがあるけど (スコア:1)
たいていは嘘と言うか、違う答えを入れますけど。
それゆえに忘れやすいという欠点があります。
最近は母親の旧姓に好きなフルーツを入れるとかいうふうにしています。
(↑もちろんこれも偽情報)
Re: (スコア:0)
偽の回答を覚えているくらいなら、パスワードも忘れないわな。
あなたは本当に「アタマ」がいいんだねぇ‥‥。あ、皮肉じゃなしにマジでマジで。ハハッ(笑
Re:未だに時々パスワードを平文で保存してるところがあるけど (スコア:1)
あなたの「好きなフルーツ」が偽情報なのはわかりましたが、
そもそも「好きなフルーツ」ってソーシャルエンジニアリングに使えるほど、
周囲に知られている情報なのでしょうか。
(家族以外に)そう言う話、します?そして、他人のそれを覚えています?
まあ、ここでプライベートな情報をさらしておくと、私の好きな三大フルーツは、
桃、蜜柑、バナナですが。
Re:未だに時々パスワードを平文で保存してるところがあるけど (スコア:1)
好きな食べものの話って無駄話的にけっこうしてますよ。
酒も飲まないし、ギャンブルや合コンや風俗とかも行かなくて趣味以外での適当な話題といえば食べることとか天気の話になっちゃいやすいですね。
まぁ、それを覚えているかどうかは対象への興味の度合いや話のインパクトにもよると思いますけど。
確かに他人の好きなフルーツなんてよほど親しい人やよく一緒に食事をする人くらいしか分からないですね。
私の好きな三大フルーツは・・・ビワ、スイカ、柿。
たまにこれらの中の一つを一シーズン毎日食べていたという話を周りに何度かしたことがあるので、中には覚えている人がいるかもしれません。
もちろんどれもそのままではパスフレーズには使いませんけど。