23/04/12 21:11:45.87 pL5i5Ml70.net
パスキーじゃなくても、これにしろとランダムなパスワード勝手に作ってどこかにメモさせるほうがマシじゃないか?
508:名無しさん@お腹いっぱい。
23/04/12 21:59:05.07 pRh95iXR0.net
>>506
多要素認証の導入が当たり前になってるのに何言ってんだ?
509:名無しさん@お腹いっぱい。
23/04/12 22:23:36.43 44zbuAkb0.net
でもサイト側が多要素認証に対応してないとこもまだ多いんだよな…
510:名無しさん@お腹いっぱい。
23/04/12 22:36:56.62 btJ6veEf0.net
>>507
バックアップコードを表示してログインできなくなったら使ってねっていうサイトはあるけどね。
海外のメジャーなサイトはwebauthnとかtotpに対応してるけど日本のサイトはidとパスワードだけなのがまだ多い。
JRのサイトが最近ログインするときにメールで数字を送るようになったけど、
totp使うことはできないっぽいし。
511:名無しさん@お腹いっぱい。
23/04/12 22:38:36.53 u5Vy25ao0.net
まぁ現実見ろってことだな
512:名無しさん@お腹いっぱい。
23/04/12 23:11:49.16 5yZbmHD50.net
この流れで誰かパスワード「だけ」で管理しようとしてたか?
513:名無しさん@お腹いっぱい。
23/04/14 03:22:42.19 EQtAOCRg0.net
>>509
楽天市場は今もノーガード戦法だよなあ。
514:名無しさん@お腹いっぱい。
23/04/14 07:05:26.72 jqrTZYp60.net
パスワード管理ツールの話だし
サイト側に設定するパスワードをどうするかなんか他所でやれよ
道具を活用出来て無さそうなニオイがプンプンするわ
515:名無しさん@お腹いっぱい。
23/04/14 15:11:14.30 7QLlwygd0.net
大半のパスワードを1分以内にクラッキングできるAI「PassGAN」が登場- GIGAZINE
URLリンク(gigazine.net)
18文字は実質ツール推奨だよな
516:名無しさん@お腹いっぱい。
23/04/14 15:35:50.51 cpAftlvh0.net
>>515
この表を見る限り1分以内にクラッキングできる"大半のパスワード"を使う人はこのスレにいないでしょうね
URLリンク(i.gzn.jp)
517:名無しさん@お腹いっぱい。
23/04/14 19:23:49.13 N4n5kyUw0.net
未だに英数で10桁までのサイトも結構あるんだよね。大文字加えるぐらいしかできない。
518:名無しさん@お腹いっぱい。
23/04/14 19:40:43.24 xGLq3ecF0.net
>>517
ジャップのサイトって、英数10桁までだったりとか、
使えない記号を勝手に決めたりとかで、
パスワードを自動生成で入力するだけなのに一苦労。
一番腹が立つのは手打ちさせるサイト。頭おかしい。
普通に記号付きのパスワードと二要素アプリに
すればいいのに。
519:名無しさん@お腹いっぱい。
23/04/14 22:31:24.37 r0zKRLnH0.net
ゆうちょの3つに別れた口座番号の入力欄もひどい
520:名無しさん@お腹いっぱい。
23/04/15 00:05:58.20 NtwsTi2R0.net
桁数制限が書いてあるだけマシだぞ
制限あるのに何桁までなのか書いてないサイトとか過去にあったからな
Amazonっていうんだけど
521:名無しさん@お腹いっぱい。
23/04/15 01:23:45.40 kIhpSX+G0.net
パスフレーズはAIにかかれば無力になるだろうね
522:名無しさん@お腹いっぱい。
23/04/15 12:41:40.36 YayVR5fy0.net
ならないでしょ
辞書攻撃と何が違うって話
523:名無しさん@お腹いっぱい。
23/04/15 13:11:01.72 tMas8GMj0.net
数ヶ月ごとにパスワード変えろってメールしてくるのもうざい
524:名無しさん@お腹いっぱい。
23/04/15 15:49:22.67 A/tzEnL5O.net
なら
番号順並びの4ケタ8ケタある時は末尾を1個ずら(戻)す、とか
〇 1234 → 12(4→)3
〇 12345678 → 123456(8→)7
他はアルファベッド込みでないとスパム対策で弾かれる、とかなら
〇 11I7(Iが入ってる)一見すると縦の棒線にしか見えない、とか
〇 999888SE(クククハハハ・効果音)
なんかを、今適当に思い付いた
525:名無しさん@お腹いっぱい。
23/04/15 17:30:01.29 mzj5J/4P0.net
下四桁をyymmにするとか。2304
526:名無しさん@お腹いっぱい。
23/04/16 03:12:49.39 EebBXTVm0.net
KeePassXC Audit Report - KeePassXC
URLリンク(keepassxc.org)
527:名無しさん@お腹いっぱい。
23/04/17 12:55:31.39 A7oHfjCB0.net
>>518
これ
コピペできないのうざすぎ
コピペして忘れたとかいうアホが多いのかな
528:名無しさん@お腹いっぱい。
23/04/17 13:00:35.99 pxnUmTbY0.net
同じ数字でも40億桁まで入力できれば32bit程度の強度になるんじゃね
529:名無しさん@お腹いっぱい。
23/04/17 13:56:59.73 Cs/zk96o0.net
入力バッファどのくらい食うのソレw
530:名無しさん@お腹いっぱい。
23/04/17 17:30:33.04 UCQagMFB0.net
>>528
パスワードが違います!
最初からやり直してください!
531:名無しさん@お腹いっぱい。
23/04/17 17:55:07.09 DqZoq04P0.net
>>520
登録時は平気なのに、再ログインしようとすると実は桁数制限オーバーだか何かでパスワードが通らないサイトもある
パスワードマネージャーを使ってるから、入力ミスではないはずなのに
532:名無しさん@お腹いっぱい。
23/04/17 18:44:02.22 7O0V1wDa0.net
パスワードとはちょっと違うが、佐川急便の1年経ったらアカウント消去はパニクったな
533:名無しさん@お腹いっぱい。
23/04/17 19:20:57.32 iKBAw7610.net
パスワードを頭で覚えようとする勢、何なの?
おまえらがあちこちで使い回しするから、
悪用が止まらないんだよ。
ブラウザやアプリに覚えさせる方が安全だ
と気付け。どのみち二要素認証するんだから。
534:名無しさん@お腹いっぱい。
23/04/17 21:32:26.38 BeTwuo1x0.net
結局lastpassのように漏洩したら最後の砦がマスターパスワードだけになるからな
記憶に残せないならどこかに記してそれを管理しなきゃならなくなる
535:名無しさん@お腹いっぱい。
23/04/18 11:11:46.92 NqQwwpv+0.net
>>516
やはり日本語ローマ字読みは防御力高いな
536:名無しさん@お腹いっぱい。
23/04/18 11:28:48.74 PrmjX6qu0.net
アラビア語が最強
537:名無しさん@お腹いっぱい。
23/04/18 12:27:29.69 796NcrK80.net
自分でも判んなくなるなら正解を知ってる奴はこの世に居なくなるな、確かに最強だわw
538:名無しさん@お腹いっぱい。
23/04/19 09:32:44.70 R++Y6yjr0.net
俺は日本語と英語を韓国語発音で、さらに短縮してローマ字にしてる
539:名無しさん@お腹いっぱい。
23/04/19 13:27:15.67 Gpcq3k790.net
>>538
無意味な文字列でも桁数少ないのは
540:名無しさん@お腹いっぱい。
23/04/19 18:24:09.43 LjptaeEK0.net
「ボクの考えたぱすわーどじぇねれいたぇ」は時間の無駄
破られないパスワードなど無いと思って運用した方が楽だわな
541:名無しさん@お腹いっぱい。
23/04/19 18:42:20.57 ZLEGu1jn0.net
銀行が4桁の暗証番号ですむのはカードという鍵が必要だからだしね
542:名無しさん@お腹いっぱい。
23/04/19 19:16:20.02 MhVWbdeG0.net
キーファイル活用してるわ
マスターパスワードあれこれ考えるよりキーファイルを定期的に変更するほうがずっと楽
543:名無しさん@お腹いっぱい。
23/04/19 19:44:53.02 3VSqPRwF0.net
そいやFIDOなハードキー使ってる人いる? 使用感はどんな感じ?
544:名無しさん@お腹いっぱい。
23/04/19 22:26:40.37 He4W4u2q0.net
keepassxcで20文字のパスワードを生成してmy softbankのパスワードを変更。
その後にそのパスワードを使ってログインするとログインできない。
パスワードの後ろ4文字を削除して16文字のパスワードにするとログイン成功。
なんでパスワードを設定するときに16文字までのパスワードしか受け付けませんってエラーをだせないの?
545:名無しさん@お腹いっぱい。
23/04/19 22:51:12.03 tPz7Y3sA0.net
逆に良く通ってるのが16文字目までって把握できたな
546:名無しさん@お腹いっぱい。
23/04/19 23:07:10.22 2LO/uT750.net
>>544
ソフトバンク大丈夫かよそれ
547:名無しさん@お腹いっぱい。
23/04/19 23:29:16.93 He4W4u2q0.net
>>545
パスワードの最初の十数文字しか使われないことがあるとこのスレかどこかで見たことあるのと
パスワード変更前は16文字だったので後ろの文字を削りながらパスワードを試したところ
16文字まで減ったところでログインできた。
548:名無しさん@お腹いっぱい。
23/04/20 00:01:48.88 mxbAaece0.net
>>541
入力する人も録画してるし
数回失敗したらカードも回収しちゃうしね
549:名無しさん@お腹いっぱい。
23/04/20 00:21:30.74 N/zCxN+z0.net
スマホの指紋認証より4桁のPINの方が安全ってのが解せぬ
PINは端末固有番号と紐付けされてるからって理屈なんでしょ?
いや、端末ごと盗まれたとしたら4桁のPINより指紋の方が強固だと思うんだけど違うのかな?
550:名無しさん@お腹いっぱい。
23/04/20 00:40:34.54 EbnAS0yF0.net
どこから「スマホの指紋認証より4桁のPINの方が安全」って話が出たのか解せぬけど
PINは間違ってる番号は100%ブロックできるけど
生体認証は本人以外を100%はブロックできないって特徴はあるな
URLリンク(source.android.com)
551:名無しさん@お腹いっぱい。
23/04/20 01:19:26.12 ByHiXbML0.net
>>547
お疲れ
回数制限有ったらと思うとゾッとするお話だね
ユーザーサポートに話だけでも投げといた方が親切かも
いやまあそんなサービスに優しくしてやる筋合いないかも知れんが
552:名無しさん@お腹いっぱい。
23/04/21 15:26:57.78 mMdI+ozj0.net
暗号メールサービスのProtonがエンドツーエンド暗号化されたパスワードマネージャー「Proton Pass」を発表 - GIGAZINE
URLリンク(gigazine.net)
Protonは「悪意を持った攻撃者がハッキングなどによりパスワードを窃取した場合、基本的にすべてのProtonサービスの高度な暗号化をバイパスできてしまいます。そもそも、パスワードを適切に保護するには暗号化とセキュリティに関する高レベルの能力が必要になります。しかし、それを持ち合わせている組織はほとんどありません。我々はパスワードマネージャーの大規模な侵害によってもたらされるリスクについて常に心配してきましたが、残念なことに、最近のLastPassのハッキングにより危惧は現実のものとなっています」と語り、独自のパスワードマネージャーを立ち上げることに決めた理由を説明しています。
553:名無しさん@お腹いっぱい。
23/04/22 02:30:47.70 wxdg/Eph0.net
>>552
無料で制限なしで使えるならBitwardenのいい対抗になりそうだけど
セーフティーアドレス的な機能も加えるのかな?
基本機能(パスマネ機能)は無料でセーフティーアドレスは有料オプションとかなら自分的にはアリだな
554:名無しさん@お腹いっぱい。
23/04/25 09:10:20.80 Nuw/nbdb0.net
Google Authenticator now supports Google Account synchronization
URLリンク(security.googleblog.com)
555:名無しさん@お腹いっぱい。
23/04/25 10:11:52.48 AvWOI1450.net
>>554
gj
556:名無しさん@お腹いっぱい。
23/04/25 11:26:38.18 4peY2/8X0.net
Googleがアカウントと紐付け可能になったとITmediaの記事出てきたわ。
Googleアカウント突破されたらアウトでリスクじゃね?マスターパスワードあれば紐づけいらんと思うがどうなんだ。
紙に書いたセキュリティカードと暗号化したマスターパスワードを別々の場所に置いとけばかなり防御力高いと思うけど。
557:名無しさん@お腹いっぱい。
23/04/25 11:29:06.99 E3sXrtGU0.net
>>554
やった!
558:名無しさん@お腹いっぱい。
23/04/25 12:20:18.61 9D+D3nWP0.net
Googleのアカウントに関連づけたら、Google自体の2段階認証のコードを取り出せなくならないのか?
559:名無しさん@お腹いっぱい。
23/04/25 13:08:20.64 XYH1Zgfk0.net
アカウント無しでも使えるね
てか肛門みたいなマークになってしまった
560:名無しさん@お腹いっぱい。
23/04/25 13:14:04.26 5omPAPoo0.net
>>558
スマホ紛失するとGoogleの2段階認証のコードは取り出せなくなるから
バックアップコード保存か、2段階認証はSMSにする
561:名無しさん@お腹いっぱい。
23/04/25 13:25:40.93 2yrWDBIK0.net
>>560
そのへんの知識のないやつがデッドロック状態になって、クレーム連発しそう。
SMS認証とかより安全だから認証アプリを使ってるのに、本末転倒な使い方になるな。
562:名無しさん@お腹いっぱい。
23/04/25 21:04:49.55 NGg4Odqi0.net
twitterでyoutube gmail hacked等のキーワードで検索するとアカウントを悪い人に取られたっていうツイートがたくさんでてくる。
hacker newsでスマホが壊れた等の理由でgoogleにログイン出来なくなったていう記事を以前見たことがある。
googleアカウントをずっと使い続けることができる前提でサービスを使うのはまずいと思う。
563:名無しさん@お腹いっぱい。
23/04/25 21:43:18.52 Q4lYLCp60.net
3台の端末にGoogle Authenticatorを入れて自分で冗長化させてる。
アカウントに関連づけずに使えるからこそよいのに。
564:名無しさん@お腹いっぱい。
23/04/25 22:27:36.59 rZZ3yfXN0.net
>>562
んーそれは極論じゃないかなぁ。あるいは俺が楽観的すぎるのかな?
565:名無しさん@お腹いっぱい。
23/04/25 22:29:13.03 AvWOI1450.net
>>563
Googleアカウント紐づけなしで使えるってば。
566:名無しさん@お腹いっぱい。
23/04/26 00:03:48.63 qUYhYI4G0.net
同期しない使い方もできるから安心しろ
567:名無しさん@お腹いっぱい。
23/04/27 13:45:41.91 OPgtENS60.net
Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明
URLリンク(gigazine.net)
568:名無しさん@お腹いっぱい。
23/04/27 15:34:52.83 DV+OkHR+0.net
>>567
何を使うのが正解なんだか
MSで良いのかな
569:名無しさん@お腹いっぱい。
23/04/27 16:17:11.26 b7Nmvc8O0.net
暗号化されてないと言ってもな
スマホからGoogleのサーバーまでの通信は暗号化されてるわけで
Googleのセキュリティが信頼できないというならクラウド同期なんて最初から使うべきではないよ
570:名無しさん@お腹いっぱい。
23/04/27 16:26:50.16 H6sk8yqY0.net
>>567
>2要素認証のQRコードには、ワンタイムパスワード生成用の鍵やシードが含まれていて、もしこの鍵やシードを誰かが入手した場合、同じワンタイムパスワードを生成して2要素認証を突破することができてしまいます。
鍵やシードとやらを第三者が入手できるとしたら具体的にどんなケースなんでしょうか?
571:名無しさん@お腹いっぱい。
23/04/27 16:41:59.68 MSrU+/4u0.net
具体的には
ネットやゲームばかりしているニートに腹を立てた親や兄弟による犯行
572:名無しさん@お腹いっぱい。
23/04/27 20:16:25.90 EIjxpLKe0.net
つまりアカウント紐づけは使うな。今まで通り使えで解決と理解した。いらん機能
573:名無しさん@お腹いっぱい。
23/04/27 20:46:34.37 vOX0ejWg0.net
アカウント紐付けでTwitter使ってた人達悲惨なことになってるもんな
574:名無しさん@お腹いっぱい。
23/04/27 21:34:42.78 1wqnV/oz0.net
>>570
例えば2fasのエクスポートしたjsonにはそれがあるよ
まあ言いたいのはgoogle社員とか警察やハッキングで入手されてしまうってことだね
575:名無しさん@お腹いっぱい。
23/04/27 22:26:47.76 hFNs6vhw0.net
totpシードよりアカウント乗っ取りしやすいメールをGoogleに任せている人がほとんどじゃないの。気にするほどではないな。
576:名無しさん@お腹いっぱい。
23/04/27 23:33:03.37 gj04ZrV30.net
chromeのパスワードマネージャーを使ってる人が大量にいるからな
577:名無しさん@お腹いっぱい。
23/04/27 23:55:53.96 fKDF3Cpe0.net
>>569
クリティカルな上方扱う場合は中間者攻撃対策もしとけって話だろ
多重対策は必須
578:名無しさん@お腹いっぱい。
23/04/28 02:16:36.34 20CvPT0e0.net
やっぱり物理トークンとか物理セキリティキーが一番いいのかね
579:名無しさん@お腹いっぱい。
23/04/28 06:10:34.35 i2YYzryj0.net
>>578
興味あるけど専用スレってないんかな
580:名無しさん@お腹いっぱい。
23/04/28 07:59:53.19 eOc1e8Y80.net
なんで、Google自体の2要素認証をSMS認証に下げてまで、
認証アプリをアカウントに紐づけたい奴が多いんだ?
581:名無しさん@お腹いっぱい。
23/04/28 08:29:38.71 5da8p8dW0.net
SMS認証って少し前に無断乗っ取りのニュース無かったっけ?
どこにリスク感じるかはひとによるって事じゃないかな
アカウント紐付けはリスクもあるけど利便性は高いしね
スマホ毎年変える人とかもいるし
たいした手間では無いけど認証アプリの移行だけ流れ違うから手順的に纏めたいって人もいるでしょ
582:名無しさん@お腹いっぱい。
23/04/28 09:23:57.34 2VkxDf2R0.net
TwitterだっけSMS認証を廃止したのは
583:名無しさん@お腹いっぱい。
23/04/28 09:29:44.67 wPsAGN6W0.net
廃止じゃなくて有料化
584:名無しさん@お腹いっぱい。
23/04/28 09:34:29.59 2VkxDf2R0.net
ああ思い出した
業者がSMS通信費をBOTアカウントを使って稼いでいてイーロンがぶちぎれたやつか
585:名無しさん@お腹いっぱい。
23/04/28 19:22:46.90 58Fs7ESb0.net
無料は怖くて使わない。
586:名無しさん@お腹いっぱい。
23/04/28 23:05:53.63 O0PZyzMj0.net
多くの人にとってセキュリティより利便性のほうが重要だから
587:名無しさん@お腹いっぱい。
23/05/02 17:41:07.27 9ltSv5GJ0.net
chromeの拡張機能に入れた1passwordってパスワードも2FAも設定できないんですか?
588:名無しさん@お腹いっぱい。
23/05/04 01:20:34.03 BdwJKhUO0.net
あ、パスワードはかかる
信頼されたデバイスやブラウザー拡張機能からログインするときは2FAにできないんですか?
589:名無しさん@お腹いっぱい。
23/05/05 12:39:01.07 WTPqVZpa0.net
Keeを使ってて、openrecのサイトで自動入力させたいけどURLが判らない
どうやったら調べられる?
そもそもポップアップは対応できない?
590:名無しさん@お腹いっぱい。
23/05/05 15:15:11.71 STknNMug0.net
firefox使え
591:名無しさん@お腹いっぱい。
23/05/05 22:16:30.47 +1IWOAf40.net
結局Authyとビットワーデンが最強だよ。確実に完璧への階段を上っている
592:名無しさん@お腹いっぱい。
23/05/05 22:34:52.82 27KJnuJW0.net
Authyとビットワーデンはあのやりすぎセキュリティさんのオススメですからね
593:名無しさん@お腹いっぱい。
23/05/06 05:46:55.82 XRiCODGQ0.net
嫌な性格してるね
594:名無しさん@お腹いっぱい。
23/05/06 10:51:19.79 JG/G2XVs0.net
まぁ身の丈に合ったセキュリティサービスと運用をしてれば問題無いんだけどね
ココの人は身の丈に合ってないのが殆どだろ
595:名無しさん@お腹いっぱい。
23/05/06 10:57:27.86 E4JOH7Px0.net
物理セキュリティキーを扱ったスレってどこかにあるかな。
596:名無しさん@お腹いっぱい。
23/05/06 13:01:03.54 0K/9vQ9O0.net
物理セキュリティキーってなんですか?
597:名無しさん@お腹いっぱい。
23/05/06 13:40:11.82 E4JOH7Px0.net
こういうやつー
URLリンク(k-tai.watch.impress.co.jp)
598:名無しさん@お腹いっぱい。
23/05/06 13:56:47.96 0K/9vQ9O0.net
こんなのあるんだ
盗難と紛失が怖いから自分は絶対使わないだろうな
599:名無しさん@お腹いっぱい。
23/05/06 16:28:40.09 JG/G2XVs0.net
盗難紛失があったら無効にすれば済む話だろ
ホンマヤバいな
600:名無しさん@お腹いっぱい。
23/05/06 18:37:18.42 ct+u8QFE0.net
セキュリティキーなしでログインできて無効化できたら意味ないやん
601:名無しさん@お腹いっぱい。
23/05/06 19:02:34.91 E4JOH7Px0.net
Apple IDはマジで詰むらしいね。その備えなのか作成時には物理セキュリティキーが2つ要求される
602:名無しさん@お腹いっぱい。
23/05/06 19:40:52.27 lRHKYN4/0.net
他は知らんけど、yubicoはもしもに備えてスペアキーの用意を推奨してるね
603:名無しさん@お腹いっぱい。
23/05/08 12:58:46.12 rls0rDET0.net
キーファイルの入ったUSBメモリでいいんじゃないの
604:名無しさん@お腹いっぱい。
23/05/08 19:38:31.48 StXYV1cc0.net
>>603
何事も身の丈にあった(仕組みが知解できる範囲で)管理をするのが最適だ
605:名無しさん@お腹いっぱい。
23/05/08 20:10:32.54 mtX2Fo730.net
いつ落とすか判らないスマホと同列で考えちゃうんだよな
606:名無しさん@お腹いっぱい。
23/05/10 14:25:03.05 6eI9F4W+0.net
スマホは常に持ち歩くし紛失リスクとか機種変での移行失敗リスクとか考えると
物理のセキリティーキーの方がいいかもな
ただ少し値段が高いのとパスキーにしろ二段階認証にしろスマホ前提でスマホ認証がメジャーだから
いつまでサポートされるのかってのもあるのと
物理のセキリティキーはスマホでログインする時が面倒かなってもあるな…
607:名無しさん@お腹いっぱい。
23/05/10 17:50:42.73 8kCjBnNl0.net
スマホのほうが紛失リスク低いと思うんだが
落としても場所わかるし
608:名無しさん@お腹いっぱい。
23/05/10 18:18:15.59 FSNxvOdw0.net
パソコンはそもそも落とさない
609:名無しさん@お腹いっぱい。
23/05/10 18:18:22.89 5CWpJbUK0.net
引きこもり最強
610:名無しさん@お腹いっぱい。
23/05/11 19:19:33.81 7CXrAD2K0.net
デスクトップパソコンは家の外に落とさないだろ
611:名無しさん@お腹いっぱい。
23/05/12 00:20:35.96 hheD/o6o0.net
ノートPCなら外で紛失する奴いるじゃん
612:名無しさん@お腹いっぱい。
23/05/12 01:04:57.94 jfbzC+hq0.net
その糞PCを窓から投げ捨てろ
この言葉でよくPCが落ちてるよ
613:名無しさん@お腹いっぱい。
23/05/12 09:32:09.94 3oap0kay0.net
物理キーをチェーンでつないで末端を体に埋め込めばよし
614:名無しさん@お腹いっぱい。
23/05/12 20:08:42.33 fFUfLS2C0.net
てかNFCかなんかにして手に埋め込んだチップ使わせて欲しいよね
615:名無しさん@お腹いっぱい。
23/05/12 20:16:59.19 i+oWZAfV0.net
そうしたらWhat you areとWhat you areになるわけで多要素の意味なくなるだろ
616:名無しさん@お腹いっぱい。
23/05/13 10:14:35.00 CsQ0lpcs0.net
虹彩認証はよ
617:名無しさん@お腹いっぱい。
23/05/13 10:50:46.47 X/bE/1jQ0.net
目を怪我して詰む
618:名無しさん@お腹いっぱい。
23/05/13 11:07:31.67 M/MOPN/60.net
おまえはいつもそうだ
指紋認証で五指を切り落とされたり顔認証で首を切り落とされた後を考えるのは心配性が過ぎる
619:名無しさん@お腹いっぱい。
23/05/13 11:31:48.91 1C8TmglX0.net
言えてる。何でもいいからいちゃもんつけたいだけのやつっているよなぁ。あまねく可能性を満たす必要なんてないのにね
620:名無しさん@お腹いっぱい。
23/05/13 11:42:22.84 X/bE/1jQ0.net
虹彩でしか認証できなくて、それに全てを託すのはリスクがありすぎる
だから別の手段も用意しておく
で、そっちのセキュリティが低いと全体のセキュリティも低くなる
結局、虹彩は攻撃の困難さではなく手軽さで採用されているに過ぎない
621:名無しさん@お腹いっぱい。
23/05/13 11:48:01.36 wHf2tlOx0.net
「結局」の前後で意味が繋がらないのですが。
622:名無しさん@お腹いっぱい。
23/05/13 11:52:33.18 LjN9/G7J0.net
最終的には日本だとマイナンバーカードのID認証になりそうw
623:名無しさん@お腹いっぱい。
23/05/13 11:53:01.26 +f66KK+50.net
ICか
624:名無しさん@お腹いっぱい。
23/05/13 12:10:38.85 X/bE/1jQ0.net
家の鍵は落としてもどのドアが開くのか判らないので困るだけだけど、
マイナンバーカードは個人情報が全部書いてある
625:名無しさん@お腹いっぱい。
23/05/13 12:11:23.24 WLziggha0.net
>>620
他人がいるところでPIN打つ機会を減らせるのでセキュリティはUP
626:名無しさん@お腹いっぱい。
23/05/13 12:16:31.33 WLziggha0.net
>>624
考えがおかしいなあ
鍵は知ってる人が拾う可能性があるし状況によっては家の前で落とす
マイナンバーカードの数字は職場にも提出するような大した秘密ではない情報
本当の秘密の情報は暗証番号を入れないと呼び出せない
しかも数回失敗するとロックされてしまう
マイナンバーカード使ったことないのかな?
627:名無しさん@お腹いっぱい。
23/05/13 12:35:51.89 fuvK02nR0.net
>>624
俺のマイナンバーカード見ても父親が誰とかわからないけどどの辺が全部?
628:名無しさん@お腹いっぱい。
23/05/13 15:13:04.52 I/Fb9lvk0.net
>>620
結局別の手段も考慮するなら
>>617
これの詰むって話は言い掛かりって事だね
629:名無しさん@お腹いっぱい。
23/05/13 15:25:25.69 bcCxcyNr0.net
>>628
たしかにロジックがおかしいな
結局、マイナンバーカードも虹彩も逆張りしてるだけか
630:名無しさん@お腹いっぱい。
23/05/13 15:59:38.64 X/bE/1jQ0.net
他の手段を用意しなければ詰むし、
用意すればセキュリティは下がる
好きな方を選べ
631:名無しさん@お腹いっぱい。
23/05/13 16:16:43.61 Re88RTM50.net
>>630
他の手段を用意しないで使える虹彩認証は無い
632:名無しさん@お腹いっぱい。
23/05/13 17:35:16.22 0Q89/LJ30.net
最強の代替オプションは携帯電話番号みたいに実店舗で本人確認だろうな
633:名無しさん@お腹いっぱい。
23/05/13 17:44:20.00 2MfwBRU/0.net
GW前だけどアパートに警察官がやってきて
「GW中の予定を聞かせてもらってもよろしいですか」と
正直に帰省すると答えたんだが後から怖くなってきた
あれは本当に警察官だったのか、空き巣のコスプレじゃなかったのか
警察官を証明するものってなんだろう
634:名無しさん@お腹いっぱい。
23/05/13 19:02:19.10 n1tUqREa0.net
>>633
警察手帳の写真と名前、階級かな
635:名無しさん@お腹いっぱい。
23/05/13 19:53:27.95 X/bE/1jQ0.net
偽警官はそのくらい用意してるだろ
その場で電話でもして確認しないと何も判らない
636:名無しさん@お腹いっぱい。
23/05/14 20:28:15.74 TwmSCzsh0.net
最近は会社で使っているパスワードは
数字英大文字小文字記号4種類混合で最低14文字、20文字以上推奨、1~3ヶ月おきに変更
これを5つ覚える必要あり
パスワード管理ソフトなどは禁止でとてもきつい
メモも禁止だけどスマホにメモしている
30秒手を止めたらスクリーンロックでパスワード再入力だし
637:名無しさん@お腹いっぱい。
23/05/14 21:08:21.70 YN7YMGXN0.net
>>635
その分罪も重くなるけどそこまでするってどういう人なんだろう
638:名無しさん@お腹いっぱい。
23/05/14 21:41:42.14 EfPTtp760.net
パスワード管理ソフトが禁止というより、フリーソフトは全部禁止だな
639:名無しさん@お腹いっぱい。
23/05/14 21:42:18.90 WEB2G5WW0.net
>>636
どうしてパスワード管理ソフトが禁止されいるんですか?
頻繁にネットに繋げていろんなアプリを動かしているスマホに暗号化せずにメモするより、パスワード管理ソフトを使うほうが安全な気がするけど。
640:名無しさん@お腹いっぱい。
23/05/14 21:49:59.16 EfPTtp760.net
PCにログインしないと見れないテキストファイルに書いとけばいいんだよ
ログイン用のだけは暗記してどこにも書かない
641:名無しさん@お腹いっぱい。
23/05/14 23:45:01.15 jsqbKCmS0.net
>>636
今時パスワードを定期変更させる会社なんかないだろ
ぼくのかんがえたしゃないるぅるだろうな
642:名無しさん@お腹いっぱい。
23/05/15 00:20:28.93 Ou5mufOs0.net
会社として決めてなくても、パスワードが3ヶ月で無効になって、
過去5回分のパスワードは記憶しているから同じものは設定できない
643:名無しさん@お腹いっぱい。
23/05/15 00:42:32.89 fZaJZ65k0.net
パスワードを変えるか、会社を変えるか
644:名無しさん@お腹いっぱい。
23/05/15 00:55:26.77 Ou5mufOs0.net
まあ、わざとダミーのパスワード変更を5回やって、同じパスワードを設定し続けてるけどなー
645:名無しさん@お腹いっぱい。
23/05/15 18:10:57.15 YJEJuQLJ0.net
KeePassXC 2.7.5 released
646:名無しさん@お腹いっぱい。
23/05/15 21:24:28.93 ID7u4Ef20.net
会社の上の人間は複雑なルールを決めてセキュリティが万全になったと思っているが
現場の人間はパスワードを覚えてられないのでどこかでズルしてしまい
結局セキュリティが低下してしまうというよくあるパターンだね。
パスワード管理ソフトやセキュリティキーなどをうまく使って
簡単だけどセキュリティがバッチリな方法を探すほうがいいんでない?
647:名無しさん@お腹いっぱい。
23/05/15 21:40:08.81 Ou5mufOs0.net
ネット銀行とかもな
あなたは3ヶ月パスワードを変更していませんパスワードを変更しますか?
と頻繁に聞いてくる
あんな乱数みたいなパスワードが突破される訳ないんだよ
定期的に変更するメリットなんか何もない
648:名無しさん@お腹いっぱい。
23/05/16 00:38:15.59 RKHH/K+U0.net
>>647
それとパスワード管理ツールとなんにも関係が無いから他所でやれよ
いい加減しょうも無いことで荒らすなよ
649:名無しさん@お腹いっぱい。
23/05/16 13:45:30.27 48CjNXN00.net
パスワードレス認証技術「パスキー」は速い、安全、便利 ~Googleが新データでアピール
URLリンク(forest.watch.impress.co.jp)
650:名無しさん@お腹いっぱい。
23/05/16 13:57:21.80 YilJYuCh0.net
そして全てが破られる最悪の事態に
651:名無しさん@お腹いっぱい。
23/05/16 18:18:22.92 kB7aNMnG0.net
>>649
>パスワードによる認証成功率は平均13.8%だったが、
みんな7回に6回はパスワード打ち間違ってたんだ・・・
652:名無しさん@お腹いっぱい。
23/05/17 21:42:08.38 6MxwQVVc0.net
>>651
フォントが悪い
1,l,I,| ←これ誰も見分けつけられない
653:名無しさん@お腹いっぱい。
23/05/17 21:50:45.48 YD7mI7/T0.net
お札のアルファベットはIとOを使っていない
別にこんなもん間違っても誰も困らないけど
654:名無しさん@お腹いっぱい。
23/05/18 07:17:05.54 Lsn8WBwa0.net
>>652
パスワードを見て手で打ち込むという行動がすごい
655:名無しさん@お腹いっぱい。
23/05/18 07:45:13.99 vLTfgmuk0.net
このスレのクオリティの低さを物語ってる
656:名無しさん@お腹いっぱい。
23/05/18 07:47:41.19 THCPqICi0.net
>>652
数字のイチ、小文字のエル、大文字のアイ、記号は名前がわからん
源暎モノコード最高
657:名無しさん@お腹いっぱい。
23/05/18 09:28:36.38 rw+0YSkP0.net
>>656
記号の読み方
URLリンク(www602.math.ryukoku.ac.jp)
記号/符号の種類・名称・読み方 ー 約物など
URLリンク(www.benricho.org)
658:名無しさん@お腹いっぱい。
23/05/18 09:40:46.78 8bKKgS4h0.net
記号の縦棒、パイプと読んでたけど日本語でも英語でも違ってたっぽい。はずかしい、、、むかーし誰かに教わったんだが騙されたかなw
659:名無しさん@お腹いっぱい。
23/05/18 10:14:42.65 4A0DGSw00.net
シェルに使う記号の意味としてはパイプだから間違いではないんじゃない
660:名無しさん@お腹いっぱい。
23/05/18 10:17:17.06 1i5JpkgR0.net
or
661:名無しさん@お腹いっぱい。
23/05/18 10:26:09.93 ueBiHjbk0.net
UDデジタル教科書体好きなんだけど 1Il 0Oあたりの見分け全くつかなくて困る
662:名無しさん@お腹いっぱい。
23/05/18 10:39:35.75 1i5JpkgR0.net
見分ける必要がある時はconsolas
普段は文脈で判断できるのでMeiryoKe
663:名無しさん@お腹いっぱい。
23/05/18 12:24:38.82 061Cqvqu0.net
>>654
データ漏洩を防ぐには紙に印刷しておくのが最強だからな
664:名無しさん@お腹いっぱい。
23/05/18 12:33:44.80 1i5JpkgR0.net
紙は取られたり盗み見られたりするだろ
管理ツールの中だけ入れて、見るには脳内にしか無いパスワードを使うのが最強
665:名無しさん@お腹いっぱい。
23/05/18 12:46:34.96 DUpNi3p20.net
脳内最強はよっぽど記憶力が優れてるんじゃなければ
桁数が少なくなったり使い回し(ベース+前後に数文字パターンも含む)になって
結局ツールや紙を使うよりよっぽど脆弱になるだけだと思うなー
666:名無しさん@お腹いっぱい。
23/05/18 13:06:26.22 1i5JpkgR0.net
覚えるのは1つだから使いまわしとか関係ない
ネット上に置く訳でもないから家族や同僚に総当りされてもたかが知れてる
数字や記号も含めたランダムの8文字程度で十分
この一つだけを根性で覚えて絶対に誰にも明かさないしどこにも記録しない
667:名無しさん@お腹いっぱい。
23/05/18 14:01:11.44 dEVXlsT80.net
>>659-660
!
たしかにシステムやってる人に教わったわ。AまたはBみたいな話の流れで。ありがとー
668:名無しさん@お腹いっぱい。
23/05/19 15:37:11.69 T9owVfki0.net
B8 GC( q9 QOo0 I1l ir mn Ss Uuv Ww Xx Zz
並べると見分けつくけど小さい画面でランダム英数字表示されると見分けるのが難しくなる
669:名無しさん@お腹いっぱい。
23/05/19 15:41:24.75 wk8LOQGR0.net
ランダム生成したパスワードをプリントアウトして現場に持っていって、
全然通らないから諦める、という目に実際に遭遇した
別に文字の種類を混ぜる必要は無いんだよな
長ささえ長くすれば十分なので、英小文字のみ20文字とかでもいい
入力しやすく間違いにくく強度もある
670:名無しさん@お腹いっぱい。
23/05/19 15:50:00.90 aPcRdIIk0.net
セキュリティが落ちるものの、パスワード自動生成でよく似た文字は除外というオプション設定はあるね
671:名無しさん@お腹いっぱい。
23/05/19 17:56:58.81 uwtJDCmg0.net
数字も混ぜなきゃいかんとか糞ルール押し付けてくるサービスもあるしな
672:名無しさん@お腹いっぱい。
23/05/19 18:08:44.13 wk8LOQGR0.net
3種類全部混ぜてないと通らないんだよな
あれは、お前らアルファベットはどうせ何かの単語だろという前提がある
単語だけの組み合わせは恐ろしくセキュリティが下がるので、その対策に過ぎない
673:名無しさん@お腹いっぱい。
23/05/19 19:18:35.47 SeD/2Rbi0.net
フリーのパスワード管理ツール「KeePass」に脆弱性、マスターパスワードを復元される
URLリンク(forest.watch.impress.co.jp)
>この問題は、6月初旬にリリース予定の「KeePass 2.54」で修正される見込み。
674:名無しさん@お腹いっぱい。
23/05/19 19:28:01.89 YgA/liGr0.net
>>673
これも忘れないで下さい
> 概念実証ツールの作者によると、本脆弱性は少なくとも以下のアプリには影響しない。
KeePassXC
Strongbox
KeePass 1.X
675:名無しさん@お腹いっぱい。
23/05/19 20:44:43.89 .net
>>673
キーファイル貫通するんか・・・・・
676:名無しさん@お腹いっぱい。
23/05/19 21:05:03.80 wk8LOQGR0.net
キーファイルなんか何に使うんだろと思ったけど、こういう時には強いな
677:名無しさん@お腹いっぱい。
23/05/19 21:30:31.25 RneDqxTu0.net
テキストボックス由来なのか
アプリのコントロール依存で起こってしまうものまで拾われると厳しいな
678:名無しさん@お腹いっぱい。
23/05/19 22:18:55.23 wk8LOQGR0.net
パスワード解除済のPCを使える状態なんだから、
ハッキングするまでもなく侵入し放題だけどな
679:名無しさん@お腹いっぱい。
23/05/20 09:50:33.94 C773mXWs0.net
本家一筋で使ってきたが一時的に他の使ってみたほうが良いのか
680:名無しさん@お腹いっぱい。
23/05/20 10:03:03.36 h6cLw2NE0.net
本家kwsk
681:名無しさん@お腹いっぱい。
23/05/20 12:07:31.84 V/6HwRvg0.net
本家wvwv
682:名無しさん@お腹いっぱい。
23/05/20 13:51:57.62 prqcEpLG0.net
6月まで誰もオレのPCのメモリを解析できないように対策するぞー
まずは家のキーからかなw
683:名無しさん@お腹いっぱい。
23/05/20 15:26:48.39 GPy3BE/B0.net
URLリンク(jetstream.bz)
684:名無しさん@お腹いっぱい。
23/05/20 19:40:08.23 jZ4nPGvh0.net
最近、やたらとパスキー、パスキーって言ってる割に全然普及してないし
GoogleやMSなどのOSメーカーがパスキーを云々って言ってるけど
少ないパスキーの記事ってほとんどがGoogleでMSのパスキーについてふれてるの皆無だし
パスキーもようわからんな
685:名無しさん@お腹いっぱい。
23/05/20 20:07:44.11 h6cLw2NE0.net
利便性とセキュリティは背反する
便利だよと宣伝してたら危ないよと言ってるのと同じ
686:名無しさん@お腹いっぱい。
23/05/20 20:19:49.94 AKwLG6BI0.net
グーグルアカウントさえパスキー対応したらOAuthでログインできるサイトばかりだし良いのでは
687:名無しさん@お腹いっぱい。
23/05/20 23:49:32.31 0/Up3o0x0.net
>>685
あなたは紙に書いて保管して手で入力してるの?
688:名無しさん@お腹いっぱい。
23/05/21 00:10:35.58 P6Gsx3dI0.net
そうだね
紙に書くのが恐らく最強
それは面倒だし間違うので、管理ソフトに頼る
そうやって楽になった分だけセキュリティは失われていく
689:名無しさん@お腹いっぱい。
23/05/21 01:28:01.67 JFx3NoMi0.net
紙は警察に押収されたらアウトやぞ
690:名無しさん@お腹いっぱい。
23/05/21 01:36:46.62 eeeATnJ30.net
とりあえず
KeePassXCPortableに逃げた
本家が塞いだらまた考えよう
691:名無しさん@お腹いっぱい。
23/05/21 05:42:49.18 eAJBB28l0.net
>>689
バカ
692:名無しさん@お腹いっぱい。
23/05/21 09:41:04.91 CET1Jc2d0.net
>>673
PCのメモリを覗ける状態なら、キーロガーでも入れた方が早そうだが
693:名無しさん@お腹いっぱい。
23/05/21 10:04:05.26 aDl/BAKh0.net
元々キーロガーに対して脆弱で、さらに脆弱性が見つかった
キーロガーなんか絶対仕掛けられません、という前提でのセキュリティなので、
あんまり意味がない
694:名無しさん@お腹いっぱい。
23/05/21 10:24:22.36 OjorX/6D0.net
悪い奴がキーロガーをインストールすることができたってことは
そいつは悪いことをするどんなプログラムでもインストールできるってことだ。
クリップボード、デスクトップ画面、ストレージの中身、ネットで通信している内容、usbケーブルでやりとりしているデータ、ノートpcについているwebカメラの映像などなども盗み見られる可能性が高い。
なのでキーロガーやマルウェアを仕掛けられてもセキュリティを保つことは不可能だと思う。
695:名無しさん@お腹いっぱい。
23/05/21 10:38:25.23 aDl/BAKh0.net
?
696:名無しさん@お腹いっぱい。
23/05/21 10:55:16.59 KDzTtNXo0.net
キーロガーは物理的に仕込むことも可能だから単純な比較はできない
697:名無しさん@お腹いっぱい。
23/05/21 11:09:28.80 aDl/BAKh0.net
部屋に侵入するとか、最初から部屋にいる人に対するセキュリティが必要なら、
通常の管理ツールでは役に立たない
だから、そんな特殊例は除外して考える
>>673の脆弱性はそういう特殊例に含まれるので、問題にする意味がない
698:名無しさん@お腹いっぱい。
23/05/21 16:52:44.00 Hk6ZeOV90.net
ぶっちゃけそこまで気にするのならパスワード管理ツールに頼るなって事だわな
どんだけツール側が配慮してもPC本体やOS側、置き場所のセキュリティが物理的にザルならどうしようもないわけで
699:名無しさん@お腹いっぱい。
23/05/21 17:41:11.82 MJApxleh0.net
パスキーって利便性と堅牢性を両立して理想的と言われてるけど、PCからアクセスするときは結局スマホが必要なんだね。手間は二要素認証と変わらん。
700:名無しさん@お腹いっぱい。
23/05/21 17:59:15.26 eAJBB28l0.net
スマホが必要かどうかは提供もと次第じゃないん?
701:名無しさん@お腹いっぱい。
23/05/21 18:10:51.99 l8ht32hY0.net
Windows Helloもパスキーじゃないの?
702:名無しさん@お腹いっぱい。
23/05/21 19:59:48.68 HnZc/gQn0.net
パスキー
URLリンク(pbs.twimg.com)
703:名無しさん@お腹いっぱい。
23/05/21 20:04:18.63 fQXfpLL40.net
それはハスキーや
704:名無しさん@お腹いっぱい。
23/05/22 11:19:38.45 4KfO6+ou0.net
スマホはいきなり壊れるのが怖い
だったら作りが単純な物理キーのほうがまだ安心できる
705:名無しさん@お腹いっぱい。
23/05/22 11:59:30.13 ejQhtrY70.net
10台以上使ってきたけど1つも壊れたことないなスマホ
どうしたら壊れるんだろう
706:名無しさん@お腹いっぱい。
23/05/22 12:32:52.26 CUopwXWn0.net
紛失した人も落下で壊した人も知ってる
707:名無しさん@お腹いっぱい。
23/05/22 13:59:28.25 1Y8elEuy0.net
パスワード管理ツールだろうがスマホだろうが破損紛失等の
トラブルが発生しないよう予防し、それでも発生した時の対策を
講じておくのが大事
708:名無しさん@お腹いっぱい。
23/05/22 14:05:09.99 QxGhbHRy0.net
一度避難訓練しとくといいよ
Google認証システムで2要素認証にしていて、
それを失った時に、また2要素認証を復旧できるか、とか
実は潜在的に詰んでる人が多い
709:名無しさん@お腹いっぱい。
23/05/22 16:51:01.33 tIpF+2tv0.net
一度だけスマホが文鎮化したことあるけど、問題になったのはTwitterの2要素認証だけだったわ
他にも2要素認証設定してるサービスはあるけどTwitter以外は特に手間もなく復旧できた
710:名無しさん@お腹いっぱい。
23/05/22 19:59:48.61 IvjoQANz0.net
一応火事になってすべてを失っても記憶してるパスワードと電話番号で重要データは復旧できるようにしてある
動画とかはハードディスクとともに失われるけど
711:名無しさん@お腹いっぱい。
23/05/22 20:06:20.10 ljShwiHu0.net
パスワードはEvernoteに、たぬき言葉でメモしてるわ。気休めに暗号化してるけどあんまし気にしてない。
712:名無しさん@お腹いっぱい。
23/05/23 02:24:24.67 RxHjkZUP0.net
HDDはpCloudにe2e暗号化してバックアップしてるわ
生涯プランの2TBで400ドル位だったからバックアップ用HDDの保守とか考えたら安いはず
713:名無しさん@お腹いっぱい。
23/05/23 09:00:00.24 EmKVDSvN0.net
>>710
火事の時に記憶を失わないといいな
714:名無しさん@お腹いっぱい。
23/05/23 09:02:09.02 tkq+FaCC0.net
「消防車 呼び方」
715:名無しさん@お腹いっぱい。
23/05/23 09:13:59.40 Kkbfi12v0.net
これ無くなったら嫌だな、というデータをクラウドに置いてるけど、
200GB置いてて月に$1.25かかってる
716:名無しさん@お腹いっぱい。
23/05/23 15:23:34.20 Tjs9bvP00.net
俺も200GBくらいに厳選してM365サブスクについてくるOneDriveの1TBに暗号化してアップロードしてる
何かあってもスマホと記憶さえ無事であれば復旧できる
717:名無しさん@お腹いっぱい。
23/05/23 15:26:27.88 Kkbfi12v0.net
災害時を想定して、PCもスマホも携帯も全て失っても復旧できないと
718:名無しさん@お腹いっぱい。
23/05/23 20:39:30.80 uPUw/QZM0.net
>>716
どうやって暗号化してる?
719:名無しさん@お腹いっぱい。
23/05/24 00:02:26.28 sNWpcfoH0.net
あんごう化
URLリンク(pbs.twimg.com)
720:名無しさん@お腹いっぱい。
23/05/24 00:04:03.44 WNg0P+uD0.net
ネイティブw
721:名無しさん@お腹いっぱい。
23/05/24 00:04:58.30 /YxXzycz0.net
うばんぷ何
722:名無しさん@お腹いっぱい。
23/05/24 06:05:40.01 pe6YOV2B0.net
>>718
rcloneとか
723:名無しさん@お腹いっぱい。
23/05/24 15:49:11.41 9WID4x0+0.net
URLリンク(www.google.com)
724:名無しさん@お腹いっぱい。
23/05/24 20:00:33.88 a2nRwxyO0.net
銀行カードの暗証番号をどこに控えておけばよいやら
スマホが壊れてしまった
725:名無しさん@お腹いっぱい。
23/05/24 20:15:39.52 TfU4DpDU0.net
スマホが壊れると、LINEしか知らない相手を簡単に見失う
以前は携帯が壊れて電話番号が携帯にしか入ってない、が定番だったけど、
今はもう電話番号なんか知らない人しかいない
726:名無しさん@お腹いっぱい。
23/05/24 20:32:32.60 oTzAn5W40.net
4桁くらい覚えろとかバックアップしないのかよとか
727:名無しさん@お腹いっぱい。
23/05/24 20:38:39.43 BOjDFR5l0.net
>>724
>>24
728:名無しさん@お腹いっぱい。
23/05/24 23:46:11.94 WSeOUoJd0.net
しかし何年経っても同じ話題であんたら全然進歩しないなぁ
729:名無しさん@お腹いっぱい。
23/05/25 01:00:31.46 7COUuc5D0.net
そうかなあ?
言ってる事は同じでも前提が変わってて
意味合いが違ってるとおもうけどな
URLリンク(gigazine.net)
指紋認証も前提が変わってくるかも
まだ全然使えない技術ぽいけど
730:名無しさん@お腹いっぱい。
23/05/25 01:05:50.70 dlG8ZdYS0.net
手軽な方法は絶対落とし穴があるんだって
強いセキュリティは必ずめんどくさい
逆は必ずしも成り立たないけど
731:名無しさん@お腹いっぱい。
23/05/25 10:04:41.51 qAogRa+40.net
>>728
お前は退化してるぞ?
732:名無しさん@お腹いっぱい。
23/05/27 13:46:32.87 xWLwFcdS0.net
>>717
オンラインストレージ1に重要ファイルと各種サービスへのアクセスパスを保存したパスワードファイル、オンラインストレージ2にKeepassのパスワードファイル、パスファイルの内容は1へアクセスするためのIDとパスだけ
覚えておくのは2にログインするためのIDとパス、Keepassのマスターパス
災害でゼロになったら端末用意してKeepassポータブルをダウンロード、2にログインして、1からファイル取り出し復旧
2にログインするためのIDとパスは、有名ドラマと出演者の名前を組み合わせたものにすると覚えやすい
2にアクセスされてもKeepassのマスターパスがわからないならアタックできない、マスターパスが割れても1のIDとパスを変えてしまえばログインできない
733:名無しさん@お腹いっぱい。
23/05/27 13:50:21.68 xWLwFcdS0.net
スマホ認証形式だと災害で端末失うとなにもできなくなるが
銀行ですらスマホ認証を強要してくる時代になったからな
せめてYubikeyとかの携帯しやすいデバイスも許可してくれよ
734:名無しさん@お腹いっぱい。
23/05/27 14:17:20.41 w3p/v+PQ0.net
災害時は特例で代替手段が提供されるんちゃう?
735:名無しさん@お腹いっぱい。
23/05/27 14:39:41.40 bGSDgxW00.net
>>733
仮に紛失したとしてもインフラさえ生きてたら
新たに買えば復旧できるな
インフラが死んでるような状況で認証が必要な事柄が何か洗い出せよ
何にも出来ないと言うことを前提にしたらそりゃなんにもできないわ
736:名無しさん@お腹いっぱい。
23/05/27 14:45:41.80 1ZVaGsUY0.net
アタックへの強さと災害への対策を同時にやるのは難しいかもしれない
何なら復旧の為に最初にアクセスする場所のパスワードは財布に入れてある
普段使わないパスワードは忘れる
だからといって普段のパスワードと共通にすると使い回しになる
737:名無しさん@お腹いっぱい。
23/05/27 16:53:54.15 Y5DPGZhs0.net
「辞書に載っている単語を含めてはいけない」「120日ごとに新しくパスワードを設定すること」などバカげたパスワードのルールを持つサイトを集めた「Dumb Password Rules」
URLリンク(gigazine.net)
日本のサイトって割と条件に当て嵌まりそうではある
738:名無しさん@お腹いっぱい。
23/05/27 17:02:30.05 1ZVaGsUY0.net
長すぎるという理由で蹴ってくるところは意味判らんな
739:名無しさん@お腹いっぱい。
23/05/27 22:20:25.96 voZCapHJ0.net
文字数が書いてなくて生成文字列突っ込んだら自動で末尾切ってくるサイトとか有るんだっけ
せめて説明してくれと
740:名無しさん@お腹いっぱい。
23/05/27 22:26:08.53 fWhJ6E9D0.net
昔のAmazonがそれやってたな
741:名無しさん@お腹いっぱい。
23/05/27 22:33:27.64 1ZVaGsUY0.net
登録の時だけ切って、照合の時は活かすんだよな
だから何文字だったのか推測しないといけない
742:名無しさん@お腹いっぱい。
23/05/28 12:25:51.55 5sgFtGni0.net
>>739
昨日My Y!mobileで新規アカウントを作成する際にパスワード長が書いてなかったので24文字のパスワードを登録し完了
ログインしようとしたらできなかったのでヘルプを見たところ8~16文字だったため後ろをカットして再試行したらログインできた
743:名無しさん@お腹いっぱい。
23/05/28 12:53:07.47 rtBAnxmu0.net
この人のパスワードはこれ、という風にサーバーのHDDにしまっとくんだよ
そのHDDの領域の割り振りを設計する時に、パスワードは最大16文字とか決めないといけないので、
それ以上の長さを寄越されても記録しとく場所がない
744:名無しさん@お腹いっぱい。
23/05/28 14:05:20.36 0/O4XvEL0.net
>>743
何十年前の実装だよ
生パスワードの保管方法じゃんそれ
745:名無しさん@お腹いっぱい。
23/05/28 14:10:22.98 rtBAnxmu0.net
1セクターは256バイトで構成されていて、それを何バイトずつどういう用途に割り振るかを最初に設計する
レコード長は一旦決めるともう変えられない
746:名無しさん@お腹いっぱい。
23/05/28 14:10:26.85 d/DTbMVd0.net
BASICで組んでた時は
フロッピーのランダムアクセスレコード長設定でフィールドのバイト数で区切ってたよね
747:名無しさん@お腹いっぱい。
23/05/28 14:14:12.96 rtBAnxmu0.net
名前もカタカナのみで、濁点はそれで1マス使う
そういうコードで設計すると、それをずっと使うしかない
多分、Yahooのシステムはそんな古い設計のままなんだよ
748:名無しさん@お腹いっぱい。
23/05/28 14:35:55.66 H1hRrYW+0.net
>>745
そうじゃなくて、今は(というかずっと以前から)パスワード自体はシステムに保存しないものさ
パスワードはハッシュに変換して(文字数は一定)それを保存する
ログインのときも同じようにハッシュに変換して保存されてるハッシュ値と比較する
749:名無しさん@お腹いっぱい。
23/05/28 14:44:43.49 aO0keAFf0.net
UNIX・Linuxですら当時はDESで暗号化かMD5ハッシュが当たり前だったな
750:名無しさん@お腹いっぱい。
23/05/28 14:45:58.02 O31aUhs30.net
HDDの領域とか何の冗談だ
751:名無しさん@お腹いっぱい。
23/05/28 15:00:44.87 rtBAnxmu0.net
もしYahooが本当にそういうシステムを採用してるなら、パスワードの長さの上限を決める理由が何もない
やっぱやってるんだよ
752:名無しさん@お腹いっぱい。
23/05/28 15:56:21.24 O9CxpYkl0.net
Yahooは一応パスワードレス推進派だからまだ許せる
指紋認証でログインきるし
753:名無しさん@お腹いっぱい。
23/05/28 16:02:38.79 ItGCp3AB0.net
>>751
yahooに登録されてる個人情報(クレカ番号、住所等)の量に比べたらパスワードの文字数なんて問題にならないよ
大昔にあまり考えず文字数制限無しで受け付けて、先頭16文字までをハッシュするルーチンを使っていたのだろう
それがシステムの中心部に残っているのではないかな
754:名無しさん@お腹いっぱい。
23/05/28 16:28:28.99 bQxlklu90.net
文字数制限はよいとしても、頭だけ大文字固定とか同じ文字3連はだめとかって制限はやめてほしい
755:名無しさん@お腹いっぱい。
23/05/28 16:33:53.53 rtBAnxmu0.net
ついさっきも新しくパスワード作って、
大文字小文字数字記号を混ぜるルールで、
記号なしで自動生成してたのではねられた
'+'を追加したけど、それは記号とはみなされなかった
756:名無しさん@お腹いっぱい。
23/05/28 18:46:07.24 EGvJGW4H0.net
パスワードで記号とかローマ字の大文字を入れとかあるけど
大文字とか記号とか入れるのが面倒なんだよな
基本パスワードの欄ってローマ字の小文字か数字しか入れるように設計してない癖に
757:名無しさん@お腹いっぱい。
23/05/28 18:50:56.15 rtBAnxmu0.net
あとコピペ禁止にしてある入力フォームは何考えてるのか理解に苦しむ
パスワードを別のテキストに保管することを禁止したいんだろうけど、余計なお世話すぎる
758:名無しさん@お腹いっぱい。
23/05/28 19:01:12.79 xfE1PQir0.net
コピペ禁止と3ミスロックの組合せとか
殆ど嫌がらせだと思うの
759:名無しさん@お腹いっぱい。
23/05/28 19:21:26.66 h97JF/Cq0.net
パスワード入力欄がコピペ禁止になっているサイトってパスワードマネージャの存在を知らないセキュリティの知識が乏しい人達によって作られているんじゃないの?
パスワードを適切なハッシュ関数にかけてから保存してないとかいろんな脆弱性をもってそう。
760:名無しさん@お腹いっぱい。
23/05/28 19:49:59.02 rtBAnxmu0.net
ハッキングを受けて大量のIDとパスワードが流出とか頻繁にニュースになってるし
ハッシュ後のパスワードなら流出したところで平気だけど、
そうなってないから使い回し禁止のルールができてる訳で
思ってる以上に各企業のweb担当は素人
761:名無しさん@お腹いっぱい。
23/05/28 20:33:33.60 O31aUhs30.net
PW平文保存は違法にしたらええのにね
762:名無しさん@お腹いっぱい。
23/05/28 20:39:19.55 rtBAnxmu0.net
クレカのセキュリティコードは保存禁止なのに、
何故か最初だけ入力してその後は入力を求められない謎
763:名無しさん@お腹いっぱい。
23/05/28 20:45:16.66 xfE1PQir0.net
コード自体は保存しなくても
コードチェックを通過したIDって記録は残せるからかな
764:名無しさん@お腹いっぱい。
23/05/28 21:21:21.23 wBYf/H//0.net
マジでID:rtBAnxmu0って物知らないし頭も悪いな
ハッシュだって漏れたらマズいから使い回しすんなって言われてるんだよ
765:名無しさん@お腹いっぱい。
23/05/28 21:48:08.51 aO0keAFf0.net
普通ハッシュはランダムなsaltやストレッチ使ってるからまず被んないし耐性上げてるんだけどな
そんでも最近はPassGANが現われたから短かいパスワードはレンボーテーブルで突破される
766:名無しさん@お腹いっぱい。
23/05/28 21:57:27.87 rtBAnxmu0.net
トリップ破るのにも使える?
767:名無しさん@お腹いっぱい。
23/05/28 23:29:28.72 RnnTAvhQ0.net
>>762
この前のソースネクストの流出事件だと保存禁止のはずのセキュリティコードも流出してんだよな…
768:名無しさん@お腹いっぱい。
23/05/28 23:36:02.54 bQxlklu90.net
アキバの大手有名どころの大規模お漏らしで不正利用されたっけな。PC1s(親会社のお漏らし)
幸い、カード会社から利用確認の電話きてすぐ発覚した。登録してなくても保存してたりする会社もあるんだってな
カード一新して登録し直しがすごいめんどくさかったっけ
769:名無しさん@お腹いっぱい。
23/05/29 07:38:06.28 qBVuFHoL0.net
>>765
ID:rtBAnxmu0みたいな奴がいる世の中だもん
どんな馬鹿な実装されてたっておかしくない
>>766
無知で馬鹿なだけでなく想像力までないのかよ救えねーな
770:名無しさん@お腹いっぱい。
23/05/29 10:13:43.28 TRCNl5bB0.net
てかいい加減どこも登録時にパスワード最大値と使える文字を書いてほしいよな
書いてなくても実際に入れてボックスに10文字までしか入らなかったとかならまだしも勝手に切るのやめてほしい
大体63文字とか127文字でやってるけどショボいサイトだと8-16しか入らなったりするし
771:名無しさん@お腹いっぱい。
23/05/29 10:20:40.98 TRCNl5bB0.net
MSとかgoogleとか真っ先にログインする奴は長いとやってられんから短くして2段階にしてるけど
MSとかGoogleアカウントってパスワードレスにしても初期設定で使えるんだっけ?
以前試して通知届かなかったかなんかで詰んでパスワードありに戻してるけど最近は大丈夫?
772:名無しさん@お腹いっぱい。
23/05/29 11:57:12.03 AzqVAGq80.net
>>767
最近は入力画面が改竄されてセキュリティコードを盗み取るようになってる
773:名無しさん@お腹いっぱい。
23/05/29 19:52:50.07 F5cC92Xy0.net
最大16桁多いよな
せめて最大32桁にしてほしいわ
774:名無しさん@お腹いっぱい。
23/05/29 20:31:29.43 NqEvoC4S0.net
長くしてもそんなに覚えられる訳ないと思ってるんだろうな