アカウント名:
パスワード:
あれ、このパスでもない、大文字小文字変えてもダメ?よし、再設定で
#割とよくある
最近、パスワード登録はなしで、ログイン時にメールアドレスだけ入力して、ログインURLをメールで送ってきて、それクリックでログインできるようなサービスがちょいちょい出てきてる。ある意味、毎回再発行してるようなもんか。ユーザーにパスワード管理任せるよりは断然安全かもしれない。けど、手間・・・
それってOAUTHとかと一緒で他のサービス(この場合メールサービス)に認証丸投げしてるだけだよね?認証を集中するのは、少数の方が守りやすいって利点もあるけど、漏れた一網打尽って欠点もあると思うよ。だから断然とは言えないし、最近は(特にプライバシー的な方向で)配慮されつつある気がするけど、URLは特段秘匿情報ではないってのが普通だったし、今でもどこまでそれが常識になってるのかってところなんで、色々配慮の足りないソフトやシステムもそれなりにあると思う。だから断然ってほどでないと思うよ。
個人で管理するよりは安全だと思いますよ。もちろん、パスワード管理アプリ使うなど、自分でしっかりできてる人ならいいけど、ほとんどの人はできてないわけで。
それから、EmailがOAuthなどと違うのは、そもそもEmailアカウントが漏れたら全部漏れるのが基本的な仕様です。パスワードの再発行により、Emailアカウントさえあればほぼすべてのサービスのアカウントを乗っ取れますから。
言い換えるなら、だいたいのサービスが「アカウントのID&PASS」または「(パスワード再発行により)Emailアカウント」のどちらかがあればログインできる。これを「Emailアカウントのみ」に限定することは一定の効果はあると思いますよ。さらに最近のまともなメールサービスなら2段階認証を実装してるのでEmailアカウントは守りやすいし、Email送受信の暗号化も進んでますからURLを抜かれる可能性も低い。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
忘れたら (スコア:0)
あれ、このパスでもない、大文字小文字変えてもダメ?
よし、再設定で
#割とよくある
Re: (スコア:2)
最近、パスワード登録はなしで、ログイン時にメールアドレスだけ入力して、ログインURLをメールで送ってきて、それクリックでログインできるようなサービスがちょいちょい出てきてる。
ある意味、毎回再発行してるようなもんか。
ユーザーにパスワード管理任せるよりは断然安全かもしれない。けど、手間・・・
Re: (スコア:0)
それってOAUTHとかと一緒で他のサービス(この場合メールサービス)に認証丸投げしてるだけだよね?
認証を集中するのは、少数の方が守りやすいって利点もあるけど、漏れた一網打尽って欠点もあると思うよ。
だから断然とは言えないし、最近は(特にプライバシー的な方向で)配慮されつつある気がするけど、
URLは特段秘匿情報ではないってのが普通だったし、今でもどこまでそれが常識になってるのかってところなんで、
色々配慮の足りないソフトやシステムもそれなりにあると思う。
だから断然ってほどでないと思うよ。
Re:忘れたら (スコア:2)
個人で管理するよりは安全だと思いますよ。
もちろん、パスワード管理アプリ使うなど、自分でしっかりできてる人ならいいけど、ほとんどの人はできてないわけで。
それから、EmailがOAuthなどと違うのは、そもそもEmailアカウントが漏れたら全部漏れるのが基本的な仕様です。
パスワードの再発行により、Emailアカウントさえあればほぼすべてのサービスのアカウントを乗っ取れますから。
言い換えるなら、
だいたいのサービスが「アカウントのID&PASS」または「(パスワード再発行により)Emailアカウント」のどちらかがあればログインできる。
これを「Emailアカウントのみ」に限定することは一定の効果はあると思いますよ。
さらに最近のまともなメールサービスなら2段階認証を実装してるのでEmailアカウントは守りやすいし、Email送受信の暗号化も進んでますからURLを抜かれる可能性も低い。