パスワードの意味がない!!!パスワードリマインダの危険性 (まとめ) » とりあえず9JP
以前書いた記事、 パスワードリマインダの意味がない!!!パスワードリマインダの危険性 Part1 パスワードリマインダの意味がない!!!パスワードリマインダの危険性 Part2 について、はてなブックマークのコメント等で色々ご意見いただいていたようなので再度書いてみる。 「暗証番号やパスワードを容易に予測可能な文字列にすべきではない」という事は良く言われている事だが、パスワードリマインダは「容易に予測可能な文字列」でパスワードを再設定可能というのが滑稽に思える。 日本のインターネットユーザの大半がアカウントを取得しているであろう、YahooJapanでさえ、 秘密の質問に回答→直にパスワード再設定画面へ移動 という流れ。 これについて、「質問とは関係のない回答を入力している」という人もいたけど、自分も全く関係のないワードで回答するようにしている。 でも、それはその危険性を知っている人間だか
パスワードの意味がない!!! パスワードリマインダの危険性 Part2 » とりあえず9JP
先日、パスワードリマインダの危険性について記事を書いたのだけど…。 ポータルサイトの大御所的存在である、Yahoo Japanでさえ、このパスワードリマインダが微妙すぎる。 Yahoo側が用意している質問には ・中学時代に所属していたクラブは? ・子供の頃のあだ名は? ・初恋の人の名前は? ・初めて買った車は? といった、ある程度親しい友人・知人であれば知ってそうな質問項目が含まれる。 また、日常の会話の中でこれらの情報をこぼす事もあると思うので、知り合いであれば容易に特定可能であると考える事が出来るのでは無いだろうか。 Yahooのパスワードを忘れた場合の処理は、 IDを入力 →秘密の質問が表示されるので秘密の質問に回答 →パスワード再設定画面 で新しいパスワードを入力→ パスワード再設定完了 これだけ。 例えば秘密の質問を 「中学時代に所属していたクラブは?」 にして、 「バスケ部」
パスワードの意味がない!!!パスワードリマインダの危険性 Part1 » とりあえず9JP
このパスワードリマインダ、新規登録時に「秘密の質問」を複数の選択肢の中から選択し、その質問に対する回答をユーザが入力するといった形態を取る事が多い。 で、ユーザがパスワードを紛失してしまった場合は、その秘密の質問を表示し、新規登録時にユーザが回答した内容と同一であれば、パスワードの再設定画面に進める、といった仕組みなのだけど・・・ この予め用意されている質問というのがお粗末すぎる。 例を紹介すると ・電話番号の下四桁は? ・好きなアーティストは? ・貴方の母親の旧姓は? ・貴方の星座は? ・ペットの名前は? といった感じ。 恐ろしい事に、いわゆる大手のWEBサービスでも、これらの秘密の質問に対する回答と、生年月日などが一致した場合、パスワードの再設定画面に進んでしまう。 パスワードを知らずとも、悪意を持った第三者が、簡単な「秘密の質問」に回答する事でパスワードを変更できてしまうのであれば、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスワードリマインダの話(番外編) » とりあえず9JP
