アカウント名:
パスワード:
よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけどパスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強そして生体認証でショルダーハッキング対策すれば完璧
ランダムで強度の高いパスワードを使う必要があったのは、多要素認証が無くパスワードに依存していた時代。
今のみずほ銀行だったら、振込機能の悪用には
(1) お客さま番号 (≠口座番号) … 知識情報 または 所持情報 (書かれているカードがあるため)(2) いつもと違う環境からのログインの場合、秘密の質問の答え1 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)(3) いつもと違う環境からのログインの場合、秘密の質問の答え2 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)(4) ログインパスワード … 知識情報(5) ハードウェア
秘密の質問って、友人とか近親者に対しては秘密じゃないし、SNSとかの情報から類推できたりするので信用してない。結局、ランダムに生成した文字列をログインパスワードとかと一緒にパスワードマネージャーに覚えさせてる。(もちろん、パスワードマネージャーのパスワードは頭の中にしか置いていない)
秘密の質問は、不特定の口座番号やお客様番号を手当たり次第にアタックされることを防ぐ程度のもの。
例えば、パスワードを固定し、リバースブルートフォースをしようとした場合、秘密の質問で阻まれる。それだけのためにパスワードのような他人が推測できない文字列を設定する意味はない。
そんなところに労力を使うより、パスワードの強度を上げるほうが利便性の面でもセキュリティの面でもマシだと思うよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
パスワード管理ソフトを使え (スコア:0)
よく「パスワード管理ソフトがウイルスでやられたら!」って否定する奴居るけど
パスワード管理ソフトからパスワードが流出する事例と比べたらネット経由でサイトが陥落するケースの方が100000000万倍多い
特に「人の頭で考えた・人が記憶するパスワード」が突破されるケースがほとんど
どう考えてもパスワード管理ソフトで長さマックスの英数大小記号入りランダム文字列を自動生成した方が最強
そして生体認証でショルダーハッキング対策すれば完璧
時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:3, 興味深い)
ランダムで強度の高いパスワードを使う必要があったのは、多要素認証が無くパスワードに依存していた時代。
今のみずほ銀行だったら、振込機能の悪用には
(1) お客さま番号 (≠口座番号) … 知識情報 または 所持情報 (書かれているカードがあるため)
(2) いつもと違う環境からのログインの場合、秘密の質問の答え1 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
(3) いつもと違う環境からのログインの場合、秘密の質問の答え2 … 知識情報 または 所持情報 (所持品から答えが推測できる場合がある)
(4) ログインパスワード … 知識情報
(5) ハードウェア
Re: (スコア:0)
秘密の質問って、友人とか近親者に対しては秘密じゃないし、SNSとかの情報から類推できたりするので信用してない。
結局、ランダムに生成した文字列をログインパスワードとかと一緒にパスワードマネージャーに覚えさせてる。
(もちろん、パスワードマネージャーのパスワードは頭の中にしか置いていない)
Re:時代錯誤。パスワードを端末に保存したら多要素認証ですらなくなる。 (スコア:0)
秘密の質問は、不特定の口座番号やお客様番号を手当たり次第にアタックされることを防ぐ程度のもの。
例えば、パスワードを固定し、リバースブルートフォースをしようとした場合、秘密の質問で阻まれる。それだけのためにパスワードのような他人が推測できない文字列を設定する意味はない。
そんなところに労力を使うより、パスワードの強度を上げるほうが利便性の面でもセキュリティの面でもマシだと思うよ。