アカウント名:
パスワード:
秘密の質問なんて設定してはいけません。・忘れたパスワードなんか再発行。・どうしても、そこを答えなきゃいけないときは、質問とはまったく違う、というか、自動生成した文字列を答えにいれる。・パスワード再発行ができないところは、お金がからんでない限り、塩漬け。・最後は、ネットを使わず本人認証。
ココセコムなんて、最初から電話と郵便しかない。
おっしゃるとおり。実質、ヒント付き、答えの範囲限定のパスワードと同等なものも多いから、わざわざ辞書攻撃してくださいと誘導しているようなものだよね。パスワード忘れに対するソリューションとしては相当よろしくないけど、実装が簡単だからね・・。
Windows7とかの「パスワードのヒント」ぐらいが許せる範囲かな、と思います。
設定なんかしたくないけど、設定しないと登録できない依怙地なシステムが多すぎるんだ。せっかくメインのパスワードに強度の強いものを設定していても、まじめに質問と対になる答えを設定していたら強度ガタ落ちだもんねぇ。仕方ないのでメインのパスワードとは別に、毎回20~30桁位の乱数パスワードを生成して入れている。
あれを最初に考えた人は強烈に反省してほしい。
去年、ゆうちょもログインしたとき質問が出るようになったけどなんだかなぁ、と。最も、3つ登録して2つ答えないといけないし、相変わらずパスワード忘れは郵送対応なので問題はないと思うが、ログインの時に質問してくるセクション入れて果たして効果があるのかどうか。
ただ実際にはチャレンジ質問を採用するケースが多いです。これはあらかじめ秘密の質問とその答えをユーザー自らが登録しておいて、これを認証に利用する方法ですが、オンラインバンキングの運用形態を考えると、一
秘密の質問がイヤな理由・問題を自分で作れる場合、長考してしまう。5分くらい悩む。・回答に数字アルファベットが含まれる場合半角or全角で悩む。・回答が外来語の場合、カタカナかアルファベットかで悩む。・Q:好きな犬種は? A:グレートピレニーズ グレート・ピレニーズ ピレニアンマウンテンドッグ ピレネー犬 どれにしたっけ?
そこなんですよね。結局メモするとメモをどう保存するかという問題になるし。「あなたのペットの名前は」「パラマウント」とかそんな感じでどうでしょう。やっぱり思い出せないかもしれませんが。
パスワードは絶対忘れない。というポリシーなので秘密の質問&回答には両手ランダム生成の適当な文字列を入れています。
当然パスワードはメモして某所に保存。# 某所のIDとパスワードと秘密鍵をなくしたら死ぬけど。
かわりにアカウント作ってくれって人(主に年寄り)が多いもんで、そこをきっちりされても困ることが多かったり。いろんな窓口でも、代理人にしてもらうってのが難しくなってきてるし...
別に秘密の質問でも良いと思うんだよね。最終的にメールで確認すればいいのだし。
問題が何処にあるかといえば、その場でパス変更等が有効になっちゃう事だと思うんだが。仮にパス変を実行させても、有効にするのはメールでのリンクをクリックしてからとかさぁ・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
基本的には (スコア:3, すばらしい洞察)
秘密の質問なんて設定してはいけません。
・忘れたパスワードなんか再発行。
・どうしても、そこを答えなきゃいけないときは、質問とはまったく違う、というか、自動生成した文字列を答えにいれる。
・パスワード再発行ができないところは、お金がからんでない限り、塩漬け。
・最後は、ネットを使わず本人認証。
ココセコムなんて、最初から電話と郵便しかない。
Re:基本的には (スコア:2)
おっしゃるとおり。
実質、ヒント付き、答えの範囲限定のパスワードと同等なものも多いから、
わざわざ辞書攻撃してくださいと誘導しているようなものだよね。
パスワード忘れに対するソリューションとしては相当よろしくないけど、実装が簡単だからね・・。
Windows7とかの「パスワードのヒント」ぐらいが許せる範囲かな、と思います。
Re:基本的には (スコア:2, おもしろおかしい)
やっぱり/.erはそういう人多いですね。
もうかなり昔の話になるけど秘密の質問の選択肢の1つに「血液型は?」てのがあって、バカなの?って思ったことが…
Re:基本的には (スコア:1)
あ、バラしちまったorz
Re:基本的には (スコア:1, すばらしい洞察)
設定なんかしたくないけど、設定しないと登録できない依怙地なシステムが多すぎるんだ。
せっかくメインのパスワードに強度の強いものを設定していても、まじめに質問と対になる答えを設定していたら強度ガタ落ちだもんねぇ。
仕方ないのでメインのパスワードとは別に、毎回20~30桁位の乱数パスワードを生成して入れている。
あれを最初に考えた人は強烈に反省してほしい。
Re: (スコア:0)
去年、ゆうちょもログインしたとき質問が出るようになったけどなんだかなぁ、と。
最も、3つ登録して2つ答えないといけないし、相変わらずパスワード忘れは郵送対応なので問題はないと思うが、ログインの時に質問してくるセクション入れて果たして効果があるのかどうか。
Re: (スコア:0)
http://cloud.watch.impress.co.jp/epw/cda/topic/2008/02/15/12257.html [impress.co.jp]
Re: (スコア:0)
#合言葉を間違えただけで、郵送で再登録をすることになり、面倒臭かったので、今は紙にIDと合言葉、パスワードをまとめて書いてあります。システムを厳しくすると、こっちが対応できん。
Re:基本的には (スコア:1)
秘密の質問がイヤな理由
・問題を自分で作れる場合、長考してしまう。5分くらい悩む。
・回答に数字アルファベットが含まれる場合半角or全角で悩む。
・回答が外来語の場合、カタカナかアルファベットかで悩む。
・Q:好きな犬種は?
A:グレートピレニーズ
グレート・ピレニーズ
ピレニアンマウンテンドッグ
ピレネー犬
どれにしたっけ?
Re: (スコア:0)
Re:基本的には (スコア:2)
そこなんですよね。結局メモするとメモをどう保存するかという問題になるし。「あなたのペットの名前は」「パラマウント」とかそんな感じでどうでしょう。やっぱり思い出せないかもしれませんが。
人生は七転び八起き、一日は早寝早起き
Re: (スコア:0)
パスワードは絶対忘れない。というポリシーなので
秘密の質問&回答には両手ランダム生成の適当な文字列を入れています。
当然パスワードはメモして某所に保存。
# 某所のIDとパスワードと秘密鍵をなくしたら死ぬけど。
Re: (スコア:0)
例えば、ペットのことを普段は愛称で「ピカソ」と呼び、友人への周知やペット保険の登録でも「ピカソ」を使うけど、
本名は「パブロ ディエゴ フランシスコ・デ・パウラ ホアン・ネポムセーノ マリーア・デ・ロス・レメディオス クリスピーン クリスピアーノ デ・ラ・サンティシマ・トリニダード ルイス・イ・ピカソ」、
パス欄には本名の方を入れる。
少なくともこの手のパス収集犯罪に対してはそれなりに壁になるかと。
Re: (スコア:0)
セキュアな代理人システムを誰か開発して (スコア:0)
かわりにアカウント作ってくれって人(主に年寄り)が多いもんで、そこをきっちりされても困ることが多かったり。
いろんな窓口でも、代理人にしてもらうってのが難しくなってきてるし...
Re: (スコア:0)
別に秘密の質問でも良いと思うんだよね。
最終的にメールで確認すればいいのだし。
問題が何処にあるかといえば、その場でパス変更等が有効になっちゃう事だと思うんだが。
仮にパス変を実行させても、有効にするのはメールでのリンクをクリックしてからとかさぁ・・・