アカウント名:
パスワード:
以前、 ランダムなID(変更不可)を割り当てれば解決 [security.srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。
ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。
昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原
たまにランダムな英数字でIDを出すサービスがありますけど、間違いなく、そのサービスのIDは覚えません。
パスワードもそうですが、IDやパスワードを忘れた時に使われる手段が、「秘密の質問」や「登録メールアドレスへのリマインダ送信」です。
秘密の質問が、ソーシャルハックによってパスワードよりも脆弱であることはAppleのiCloudがやられた件ではっきりしました。登録メールアドレスにWebmailのようなものを使っている場合、そのWebmailが破られると複数のサービスへのアクセスがごっそり取られるという問題もあります。
「パスワードを使いまわすな」ということも、それが原因で覚えやすいパスワードにしてしまう可能性があります。覚えやすいことは、たいていは攻略しやすいパスワードです。「hogehoge_a」「hogehoge_b」というように、簡単なものにされるでしょう。
IPAが呼び掛けるべき相手は、ネットを使う人すべてではなく、各サービスを提供管理する会社のほうに言うべきでした。「パスワード漏洩は絶対させるな」と。
とはいってもフィッシングでユーザが騙されてパスワードを漏洩することもあるので、よく議論になる「パスワードの定期変更の効果」は意外とあるのかもしれません。
秘密の質問といいつつ、質問がリストから選ぶ形式なので、事実上の共通パスワードになってます。どのサイトでも「母親の旧姓」「出身の小学校」「初めて飼ったペット」とかですもん。これじゃあ「公開の質問」だと思う次第。しかも本人のこと知ってれば答えがわかってしまう。質問から入力させてくれよ、って思うのです。
#「好きな電車」とかいう質問はもっとあっていいと思うの
> 「hogehoge_a」「hogehoge_b」というように、簡単なものにされるでしょう。
リスト型攻撃への対策であれば、それでも十分だとは思いますけどね。願わくば、hogehogeの部分を十分に複雑にしてくれればというぐらいで。
十分ではないけど、マシな程度ですね。hogehogeが複雑でも簡単でも関係なく、むしろ_aと_bの部分が複雑じゃないとダメです。
パスワードリストの中に、hogehoge_ahogehoge_bなんてあったら、漏れていない他のパスワードを予想するのも簡単で、かえって危ない。
となると、結局、「共通パスワード」+「複雑なパスワード」にするしかなく、そうすると「複雑なパスワード」なだけでもいいじゃないかという。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
ID を使いまわさないよう事業者に呼びかけるべき (スコア:5, 参考になる)
以前、 ランダムなID(変更不可)を割り当てれば解決 [security.srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。
ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。
昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原
Re:ID を使いまわさないよう事業者に呼びかけるべき (スコア:0)
たまにランダムな英数字でIDを出すサービスがありますけど、間違いなく、そのサービスのIDは覚えません。
パスワードもそうですが、IDやパスワードを忘れた時に使われる手段が、「秘密の質問」や「登録メールアドレスへのリマインダ送信」です。
秘密の質問が、ソーシャルハックによってパスワードよりも脆弱であることはAppleのiCloudがやられた件ではっきりしました。
登録メールアドレスにWebmailのようなものを使っている場合、そのWebmailが破られると複数のサービスへのアクセスがごっそり取られるという問題もあります。
「パスワードを使いまわすな」ということも、それが原因で覚えやすいパスワードにしてしまう可能性があります。
覚えやすいことは、たいていは攻略しやすいパスワードです。
「hogehoge_a」「hogehoge_b」というように、簡単なものにされるでしょう。
IPAが呼び掛けるべき相手は、ネットを使う人すべてではなく、各サービスを提供管理する会社のほうに言うべきでした。
「パスワード漏洩は絶対させるな」と。
とはいってもフィッシングでユーザが騙されてパスワードを漏洩することもあるので、よく議論になる「パスワードの定期変更の効果」は意外とあるのかもしれません。
Re:ID を使いまわさないよう事業者に呼びかけるべき (スコア:1)
秘密の質問といいつつ、質問がリストから選ぶ形式なので、事実上の共通パスワードになってます。
どのサイトでも「母親の旧姓」「出身の小学校」「初めて飼ったペット」とかですもん。
これじゃあ「公開の質問」だと思う次第。しかも本人のこと知ってれば答えがわかってしまう。
質問から入力させてくれよ、って思うのです。
#「好きな電車」とかいう質問はもっとあっていいと思うの
Re: (スコア:0)
> 「hogehoge_a」「hogehoge_b」というように、簡単なものにされるでしょう。
リスト型攻撃への対策であれば、それでも十分だとは思いますけどね。
願わくば、hogehogeの部分を十分に複雑にしてくれればというぐらいで。
Re: (スコア:0)
十分ではないけど、マシな程度ですね。
hogehogeが複雑でも簡単でも関係なく、むしろ_aと_bの部分が複雑じゃないとダメです。
パスワードリストの中に、
hogehoge_a
hogehoge_b
なんてあったら、漏れていない他のパスワードを予想するのも簡単で、かえって危ない。
となると、結局、「共通パスワード」+「複雑なパスワード」にするしかなく、そうすると「複雑なパスワード」なだけでもいいじゃないかという。