アカウント名:
パスワード:
>他社サービスから流出したIDとパスワードを使用した不正なログインこれって同じパスワードを使用してなければ基本的に問題ないんですよね?
むしろ流出させた他社サービスとやらの方が気になるんですけどこういうニュースで名前が出てこないのは何でなんだろうまさか嘘ってことじゃないですよね?
だから定期的なパスワード変更が有効なんですよ。
ネタでもそういいうのやめろ
ネタでもいかんのか?そんなに有害か?パスの定期変更が有効な場面や攻撃も普通にあるんだが。
いや大事なこと抜かしてるからだろ。単にパスワード変更しても意味ない。パスワード長を長くしなきゃ。
数年に一度はパスワード長の見直しを。#あとサイトの使用自体の見直しを。
> パスワード長を長くしなきゃ。
どこかのサイトが侵入されてパスワードが盗まれるってケースが最大の問題なので、パスワード長くしても対策になりません。
いや、パスワードがハッシュ化されてれば、辞書攻撃や総当たりで短い物が沢山集まると思うので、長ければ使われる危険が低下すると思います。時間稼ぎにもなる。ま、平文や暗号化も単一キーでとかならどうしようもないですが、それはユーザー側ではサービスを使わないという対策しか取れないですが、そういう情報は公開されてないのでどうしようもない。#だから確率の問題と割り切って「サイトの使用自体の見直し」で絞ってリスク低減するしかない
> パスワードがハッシュ化されてれば
たとえパスワードがハッシュ化されていても、アプリケーションに脆弱性があると、ユーザーがパスワードを入力したタイミングで盗まれる可能性があるので、必ずしも安全とは言えません。
もちろん、パスワードが長いほうが良いことは当たり前ですが、「パスワードが盗まれている」という前提の上で、対策として勧めるのには違和感があります。
> だから確率の問題と割り切って「サイトの使用自体の見直し」で絞ってリスク低減するしかない
これはおかしい、全サイトで別のパスワードを使うだけで、パスワードが盗まれる問題には対処できるわけです。別にごく簡単な対策があるのにも関わらず、「サイトの使用自体の見直しで絞ってリスク低減する『しかない』」というのは単純に誤りです。
各サイト別パスワードは前提だと思ってました。その上である低の長さのランダムパスワードにするのは、もしハッシュ化たパスワードリストが流出しても悪用はされないだろうってことでしょ。ただ、平分だったり、あとはフィッシングとかキーロガーとかだと防げない。盗まれたサイトは悪用されるかもしれない。これが問題でないわけはない。特にサイトからの流出はユーザ側での対処は難しい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
最近多いけど (スコア:0)
>他社サービスから流出したIDとパスワードを使用した不正なログイン
これって同じパスワードを使用してなければ基本的に問題ないんですよね?
むしろ流出させた他社サービスとやらの方が気になるんですけど
こういうニュースで名前が出てこないのは何でなんだろう
まさか嘘ってことじゃないですよね?
Re: (スコア:-1)
だから定期的なパスワード変更が有効なんですよ。
Re: (スコア:0)
ネタでもそういいうのやめろ
Re: (スコア:0)
ネタでもいかんのか?そんなに有害か?
パスの定期変更が有効な場面や攻撃も普通にあるんだが。
Re:最近多いけど (スコア:0)
いや大事なこと抜かしてるからだろ。
単にパスワード変更しても意味ない。
パスワード長を長くしなきゃ。
数年に一度はパスワード長の見直しを。
#あとサイトの使用自体の見直しを。
Re: (スコア:0)
> パスワード長を長くしなきゃ。
どこかのサイトが侵入されてパスワードが盗まれるってケースが
最大の問題なので、パスワード長くしても対策になりません。
Re: (スコア:0)
いや、パスワードがハッシュ化されてれば、辞書攻撃や総当たりで短い物が沢山集まると思うので、長ければ使われる危険が低下すると思います。時間稼ぎにもなる。
ま、平文や暗号化も単一キーでとかならどうしようもないですが、それはユーザー側ではサービスを使わないという対策しか取れないですが、そういう情報は公開されてないのでどうしようもない。
#だから確率の問題と割り切って「サイトの使用自体の見直し」で絞ってリスク低減するしかない
Re: (スコア:0)
> パスワードがハッシュ化されてれば
たとえパスワードがハッシュ化されていても、アプリケーションに脆弱性があると、
ユーザーがパスワードを入力したタイミングで盗まれる可能性があるので、
必ずしも安全とは言えません。
もちろん、パスワードが長いほうが良いことは当たり前ですが、「パスワードが盗まれている」
という前提の上で、対策として勧めるのには違和感があります。
> だから確率の問題と割り切って「サイトの使用自体の見直し」で絞ってリスク低減するしかない
これはおかしい、
全サイトで別のパスワードを使うだけで、パスワードが盗まれる問題には対処できるわけです。
別にごく簡単な対策があるのにも関わらず、「サイトの使用自体の見直しで絞ってリスク低減する
『しかない』」というのは単純に誤りです。
Re: (スコア:0)
各サイト別パスワードは前提だと思ってました。
その上である低の長さのランダムパスワードにするのは、もしハッシュ化たパスワードリストが流出しても悪用はされないだろうってことでしょ。
ただ、平分だったり、あとはフィッシングとかキーロガーとかだと防げない。盗まれたサイトは悪用されるかもしれない。
これが問題でないわけはない。
特にサイトからの流出はユーザ側での対処は難しい。