アカウント名:
パスワード:
以前、 ランダムなID(変更不可)を割り当てれば解決 [security.srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。
ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。
昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原
たまにランダムな英数字でIDを出すサービスがありますけど、間違いなく、そのサービスのIDは覚えません。
パスワードもそうですが、IDやパスワードを忘れた時に使われる手段が、「秘密の質問」や「登録メールアドレスへのリマインダ送信」です。
秘密の質問が、ソーシャルハックによってパスワードよりも脆弱であることはAppleのiCloudがやられた件ではっきりしました。登録メールアドレスにWebmailのようなものを使っている場合、そのWebmailが破られると複数のサービスへのアクセスがごっそり取られるという問題もあります。
「パスワードを使いまわすな」ということも、それが原
秘密の質問といいつつ、質問がリストから選ぶ形式なので、事実上の共通パスワードになってます。どのサイトでも「母親の旧姓」「出身の小学校」「初めて飼ったペット」とかですもん。これじゃあ「公開の質問」だと思う次第。しかも本人のこと知ってれば答えがわかってしまう。質問から入力させてくれよ、って思うのです。
#「好きな電車」とかいう質問はもっとあっていいと思うの
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
ID を使いまわさないよう事業者に呼びかけるべき (スコア:5, 参考になる)
以前、 ランダムなID(変更不可)を割り当てれば解決 [security.srad.jp] でも書きましたが、リスト型の攻撃はサービス提供者がランダムで変更不可なユーザーIDを割り当てて認証に用いれば完全に防ぐことができるのです。
ちなみに、Yahoo! Japan ID のような公開IDを認証に使うのも望ましくありません。そのため、Yahoo! Japan は 認証用のIDを Yahoo! Japan ID とは別にするサービス [yahoo.co.jp]を提供しています。
昔は、サービス提供者がユーザーIDを割り当てる方式が主流でしたが、最近になってメールアドレスをIDとするWebサービスが増えてきたのが、リスト型の攻撃が増えた本当の原
Re: (スコア:0)
たまにランダムな英数字でIDを出すサービスがありますけど、間違いなく、そのサービスのIDは覚えません。
パスワードもそうですが、IDやパスワードを忘れた時に使われる手段が、「秘密の質問」や「登録メールアドレスへのリマインダ送信」です。
秘密の質問が、ソーシャルハックによってパスワードよりも脆弱であることはAppleのiCloudがやられた件ではっきりしました。
登録メールアドレスにWebmailのようなものを使っている場合、そのWebmailが破られると複数のサービスへのアクセスがごっそり取られるという問題もあります。
「パスワードを使いまわすな」ということも、それが原
Re:ID を使いまわさないよう事業者に呼びかけるべき (スコア:1)
秘密の質問といいつつ、質問がリストから選ぶ形式なので、事実上の共通パスワードになってます。
どのサイトでも「母親の旧姓」「出身の小学校」「初めて飼ったペット」とかですもん。
これじゃあ「公開の質問」だと思う次第。しかも本人のこと知ってれば答えがわかってしまう。
質問から入力させてくれよ、って思うのです。
#「好きな電車」とかいう質問はもっとあっていいと思うの