アカウント名:
パスワード:
あれ、このパスでもない、大文字小文字変えてもダメ?よし、再設定で
#割とよくある
最近、パスワード登録はなしで、ログイン時にメールアドレスだけ入力して、ログインURLをメールで送ってきて、それクリックでログインできるようなサービスがちょいちょい出てきてる。ある意味、毎回再発行してるようなもんか。ユーザーにパスワード管理任せるよりは断然安全かもしれない。けど、手間・・・
それってOAUTHとかと一緒で他のサービス(この場合メールサービス)に認証丸投げしてるだけだよね?認証を集中するのは、少数の方が守りやすいって利点もあるけど、漏れた一網打尽って欠点もあると思うよ。だから断然とは言えないし、最近は(特にプライバシー的な方向で)配慮されつつある気がするけど、URLは特段秘匿情報ではないってのが普通だったし、今でもどこまでそれが常識になってるのかってところなんで、色々配慮の足りないソフトやシステムもそれなりにあると思う。だから断然ってほどでないと思うよ。
個人で管理するよりは安全だと思いますよ。もちろん、パスワード管理アプリ使うなど、自分でしっかりできてる人ならいいけど、ほとんどの人はできてないわけで。
それから、EmailがOAuthなどと違うのは、そもそもEmailアカウントが漏れたら全部漏れるのが基本的な仕様です。パスワードの再発行により、Emailアカウントさえあればほぼすべてのサービスのアカウントを乗っ取れますから。
言い換えるなら、だいたいのサービスが「アカウントのID&PASS」または「(パスワード再発行により)Emailアカウント」のどちらかがあればログインできる。これを「Emailアカウントのみ」に限定することは一定の効果はあると思いますよ。さらに最近のまともなメールサービスなら2段階認証を実装してるのでEmailアカウントは守りやすいし、Email送受信の暗号化も進んでますからURLを抜かれる可能性も低い。
毎月以上の頻度でログインしないアカウントはみんなそうしてる。ランダムな文字列で再設定してその時使い終わったらそのパスワードは忘れる。
どうせそんなの重要なアカウントじゃないし。
頻度が低いのはそう割り切れば、意外とストレスは減るよね。
あまり使わないオンラインバンクのパスワードを忘れると再発行まで1週間くらい掛かってしまう時がつらい
銀行は財布代わりの1口座以外は、インターネットバンキングもキャッシュカードもなし。
財布の口座はキャッシュカードの暗証が数字4ケタって時点でセキュリティーは諦めて盗られても困らない程度の金額しか置かないようにしてる。
俺がそれを書くはずだったのだ。俺がそれを書くはずだったのだ。ということで忘れたらに一票。
それが面倒になったのでAC
# 実は実話
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
忘れたら (スコア:0)
あれ、このパスでもない、大文字小文字変えてもダメ?
よし、再設定で
#割とよくある
Re:忘れたら (スコア:2)
最近、パスワード登録はなしで、ログイン時にメールアドレスだけ入力して、ログインURLをメールで送ってきて、それクリックでログインできるようなサービスがちょいちょい出てきてる。
ある意味、毎回再発行してるようなもんか。
ユーザーにパスワード管理任せるよりは断然安全かもしれない。けど、手間・・・
Re: (スコア:0)
それってOAUTHとかと一緒で他のサービス(この場合メールサービス)に認証丸投げしてるだけだよね?
認証を集中するのは、少数の方が守りやすいって利点もあるけど、漏れた一網打尽って欠点もあると思うよ。
だから断然とは言えないし、最近は(特にプライバシー的な方向で)配慮されつつある気がするけど、
URLは特段秘匿情報ではないってのが普通だったし、今でもどこまでそれが常識になってるのかってところなんで、
色々配慮の足りないソフトやシステムもそれなりにあると思う。
だから断然ってほどでないと思うよ。
Re:忘れたら (スコア:2)
個人で管理するよりは安全だと思いますよ。
もちろん、パスワード管理アプリ使うなど、自分でしっかりできてる人ならいいけど、ほとんどの人はできてないわけで。
それから、EmailがOAuthなどと違うのは、そもそもEmailアカウントが漏れたら全部漏れるのが基本的な仕様です。
パスワードの再発行により、Emailアカウントさえあればほぼすべてのサービスのアカウントを乗っ取れますから。
言い換えるなら、
だいたいのサービスが「アカウントのID&PASS」または「(パスワード再発行により)Emailアカウント」のどちらかがあればログインできる。
これを「Emailアカウントのみ」に限定することは一定の効果はあると思いますよ。
さらに最近のまともなメールサービスなら2段階認証を実装してるのでEmailアカウントは守りやすいし、Email送受信の暗号化も進んでますからURLを抜かれる可能性も低い。
Re: (スコア:0)
Re: (スコア:0)
毎月以上の頻度でログインしないアカウントはみんなそうしてる。
ランダムな文字列で再設定してその時使い終わったら
そのパスワードは忘れる。
どうせそんなの重要なアカウントじゃないし。
Re: (スコア:0)
頻度が低いのはそう割り切れば、意外とストレスは減るよね。
Re: (スコア:0)
あまり使わないオンラインバンクのパスワードを忘れると再発行まで1週間くらい掛かってしまう時がつらい
Re: (スコア:0)
銀行は財布代わりの1口座以外は、
インターネットバンキングもキャッシュカードもなし。
財布の口座はキャッシュカードの暗証が
数字4ケタって時点でセキュリティーは諦めて
盗られても困らない程度の金額しか置かないようにしてる。
Re: (スコア:0)
俺がそれを書くはずだったのだ。
俺がそれを書くはずだったのだ。
ということで忘れたらに一票。
Re: (スコア:0)
それが面倒になったのでAC
# 実は実話