アカウント名:
パスワード:
複数のパスワード管理ツールにて現状、脆弱性により「パスワードを盗み出す攻撃が可能」脆弱性を解決すると「もっと大きなセキュリティリスクが発生する」
ということはパスワード管理ツールを使わないほうが安全ってこと?
元記事ではたとえ問題があろうがパスワード管理ツールを使えつってんだがな
今はそうだろうね……
生体認証が安定してパスワードが根本的に不要になるのと、「パスワード管理ツールは使うな、でも記号なども含む十分に強度のあるパスワードをサービスごとに個別に設定しろ」がセキュリティーの常識(笑)になるの、どちらが先なんだろうなぁ。
変更の効かない生体認証がパスワードに代わることはありえない。現実的には、今回でいうマスターパスワード部分を生体認証にする(TouchIDなどで実現済みだが)だろうけど、それでも中のデータ、実際の個別のパスワードは今回同様のリスクを抱える。
生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。
替わることがないという認識は正しいです。生体認証は替えが利かないということもありますが、認証であって認可(承認)ではないという問題もあります。本人だってNAKしたいときはある。
# ちなみに、Touch IDはパスワード認証です。まず正しいパスワードが必要で、その後はタイムアウト期間内に限り指紋で認証ができるしくみです。# シャットダウンを挟んだり、電源ボタン長押し(X/XS/XRでは電源+ボリューム長押し)すると認証が解除され、パスワード再入力が必要になります。
成功するかどうかは別にして、それ自体をSYHにすると切り取って盗もうとしたりする輩も出ますし。セキュリティは完璧を求めるものではなくリスク評価とのバランスが重要……って誰かが言ってた。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
パスワード管理ツール (スコア:0)
複数のパスワード管理ツールにて
現状、脆弱性により「パスワードを盗み出す攻撃が可能」
脆弱性を解決すると「もっと大きなセキュリティリスクが発生する」
ということは
パスワード管理ツールを使わないほうが安全ってこと?
Re: (スコア:0)
元記事ではたとえ問題があろうがパスワード管理ツールを使えつってんだがな
Re: (スコア:0)
今はそうだろうね……
生体認証が安定してパスワードが根本的に不要になるのと、「パスワード管理ツールは使うな、でも記号なども含む十分に強度のあるパスワードをサービスごとに個別に設定しろ」がセキュリティーの常識(笑)になるの、どちらが先なんだろうなぁ。
Re: (スコア:0)
変更の効かない生体認証がパスワードに代わることはありえない。
現実的には、今回でいうマスターパスワード部分を生体認証にする(TouchIDなどで実現済みだが)だろうけど、
それでも中のデータ、実際の個別のパスワードは今回同様のリスクを抱える。
生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。
しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。
Re:パスワード管理ツール (スコア:2)
替わることがないという認識は正しいです。生体認証は替えが利かないということもありますが、認証であって認可(承認)ではないという問題もあります。本人だってNAKしたいときはある。
# ちなみに、Touch IDはパスワード認証です。まず正しいパスワードが必要で、その後はタイムアウト期間内に限り指紋で認証ができるしくみです。
# シャットダウンを挟んだり、電源ボタン長押し(X/XS/XRでは電源+ボリューム長押し)すると認証が解除され、パスワード再入力が必要になります。
成功するかどうかは別にして、それ自体をSYHにすると切り取って盗もうとしたりする輩も出ますし。セキュリティは完璧を求めるものではなくリスク評価とのバランスが重要……って誰かが言ってた。