アカウント名:
パスワード:
以前、 ランダムなID(変更不可)を割り当てれば解決 [security.srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。
ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。
昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原
idをランダムに振るようなことができるのは登録に個人を識別しうる情報を要求して、id紛失をリカバリできるサイトだけだな。銀行とかクレジットなんかはすでにそういう方向性になっている。
そういう情報を預かっていない、預けたくないサイトは多くの場合idとは別にニックネームとかペルソナとかいう公開名を登録することになってるよね。
ランダムなidなんて面倒なだけだ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
ID を使いまわさないよう事業者に呼びかけるべき (スコア:5, 参考になる)
以前、 ランダムなID(変更不可)を割り当てれば解決 [security.srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。
ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。
昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原
Re:ID を使いまわさないよう事業者に呼びかけるべき (スコア:0)
idをランダムに振るようなことができるのは登録に個人を識別しうる情報を要求して、id紛失をリカバリできるサイトだけだな。
銀行とかクレジットなんかはすでにそういう方向性になっている。
そういう情報を預かっていない、預けたくないサイトは多くの場合idとは別にニックネームとかペルソナとかいう公開名を登録する
ことになってるよね。
ランダムなidなんて面倒なだけだ。