パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IPAがパスワードの使い回しに対し警告」記事へのコメント

  •  以前、 ランダムなID(変更不可)を割り当てれば解決 [security.srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。

     ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。

     昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原

    • by Anonymous Coward on 2014年09月18日 16時43分 (#2678960)

      たまにランダムな英数字でIDを出すサービスがありますけど、間違いなく、そのサービスのIDは覚えません。

      パスワードもそうですが、IDやパスワードを忘れた時に使われる手段が、「秘密の質問」や「登録メールアドレスへのリマインダ送信」です。

      秘密の質問が、ソーシャルハックによってパスワードよりも脆弱であることはAppleのiCloudがやられた件ではっきりしました。
      登録メールアドレスにWebmailのようなものを使っている場合、そのWebmailが破られると複数のサービスへのアクセスがごっそり取られるという問題もあります。

      「パスワードを使いまわすな」ということも、それが原因で覚えやすいパスワードにしてしまう可能性があります。
      覚えやすいことは、たいていは攻略しやすいパスワードです。
      「hogehoge_a」「hogehoge_b」というように、簡単なものにされるでしょう。

      IPAが呼び掛けるべき相手は、ネットを使う人すべてではなく、各サービスを提供管理する会社のほうに言うべきでした。
      「パスワード漏洩は絶対させるな」と。

      とはいってもフィッシングでユーザが騙されてパスワードを漏洩することもあるので、よく議論になる「パスワードの定期変更の効果」は意外とあるのかもしれません。

      親コメント
      • 秘密の質問といいつつ、質問がリストから選ぶ形式なので、事実上の共通パスワードになってます。
        どのサイトでも「母親の旧姓」「出身の小学校」「初めて飼ったペット」とかですもん。
        これじゃあ「公開の質問」だと思う次第。しかも本人のこと知ってれば答えがわかってしまう。
        質問から入力させてくれよ、って思うのです。

        #「好きな電車」とかいう質問はもっとあっていいと思うの

        親コメント
      • by Anonymous Coward

        > 「hogehoge_a」「hogehoge_b」というように、簡単なものにされるでしょう。

        リスト型攻撃への対策であれば、それでも十分だとは思いますけどね。
        願わくば、hogehogeの部分を十分に複雑にしてくれればというぐらいで。

        • by Anonymous Coward

          十分ではないけど、マシな程度ですね。
          hogehogeが複雑でも簡単でも関係なく、むしろ_aと_bの部分が複雑じゃないとダメです。

          パスワードリストの中に、
          hogehoge_a
          hogehoge_b
          なんてあったら、漏れていない他のパスワードを予想するのも簡単で、かえって危ない。

          となると、結局、「共通パスワード」+「複雑なパスワード」にするしかなく、そうすると「複雑なパスワード」なだけでもいいじゃないかという。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...