« 前のひとこと | トップページ | 次のひとこと »

cocolog:77378404

「ひみつの質問」機能は、本来、キャッシュ切れのパスワードを定期的に聞くのにくらべれば、マシだという理由から導入されたのではないか。Xbox 360 で定期的にパスワードを聞かれてそう考えるに致った。 (JRF 1651)

JRF 2013年8月17日 (土)

子供もいっしょに使うような場合、パスワードを教えるわけにはいかないが、秘密の質問ぐらいなら教えといていい。時間経過によるキャッシュ切れに対応するぐらいなら「秘密の質問」でも十分な場合が多いだろう。

JRF2013年8月17日8945

……。

パスワードをすでに聞いてる状況でさらに秘密の質問を尋ねるのは意味がない。むしろ、パスワードを忘れたという者が ID にアクセスするために用いるのは、本人自身のセキュリティに関してはマイナス。

特に銀行系がそれをやるのは、本人が死んだときに周りの人間への継承をやりやすくするための、信託側からのコストカットの面のほうが強いと思う。

JRF2013年8月17日2070

それが「セキュリティ」につながるというのは、むしろ、合理的誤りを発生しやすくすることで、 [cocolog:74412255] のカス証文をいくつかそろえるとアガリを決めれるような「手札」を増やそうという意味においてではないか?

パスワードではなく ID も変えろってのもそうだと思う。ID を流出したとしても自分達には責任がない、ID を知ってることを本人確認の構成要素に使ってしまうシステムを組んでしまったことの裏返しでやられているのではないか?

JRF2013年8月17日5297

《”秘密の質問と答え”の有効性について | ネットワークセキュリティのQ&A【OKWave】》
http://okwave.jp/qa/q1470523.html

《パスワード再発行に必要な「秘密の質問」は役立たず | スラッシュドット・ジャパン セキュリティ》
http://security.slashdot.jp/story/12/08/10/0914208

JRF2013年8月17日9787

……。

以前、「パスワードをX年内になくなるようにする」という主張を誰かがしているという記事を読んだと思ったのだが、見つからなかった。↓にある IBM の予想とは別に。

《パスワードがなくなる日、当分の間はやって来ない | スラッシュドット・ジャパン セキュリティ》
http://security.slashdot.jp/story/12/01/18/018253

JRF2013年8月17日2426

指紋認証等もネットを介すれば、パスワード的なデータ列への変換がどこかにはさまるわけで、「パスワードをなくそう」みたいなたくらみには、何か邪悪なものを感じてしまう。クレジットカード番号が広く使われていて機能しているのに、それよりは強いはずのパスワードシステムを否定するわけだからね。

JRF2013年8月17日2126

そもそもデータ列を入力する機会を減らそう、または、パスワードが強固でなくても信用が維持できるようなロールバック機構を社会に保持しようとするほうが本筋であるべきで、それがサービス管理会社から見て非効率的だから客の側で強固なパスワード管理を求めたり、逆に自分達が強固なパスワード管理を放棄(この場合は客はやりたくても強固なパスワード管理ができなくなる)したりするのは、むしろ非効率性を消費者側に押し付けていく話で、それはちょいと違うんじゃないですかという気がする。

JRF2013年8月17日9844

…あ、今ググったら見つかった。

《数年でパスワードのない世界に――PayPal幹部が認証変革 (TechTargetジャパン) - Yahoo!ニュース》
http://headlines.yahoo.co.jp/hl?a=20130616-00000008-zdn_tt-sci

JRF2013年8月17日4233

……。

パスワードが強固でなくても…というのは、パスワードを忘れる状況じゃなくて、パスワードはむしろ覚えるのに都合が良い簡単なものでもいいということだから、「ひみつの質問」を使うもう一つの合理的な状況というのは、パスワードを何らかのツールなどで突破されたときに、時間稼ぎ的にさらに質問をあびせるという状況ぐらいじゃないか?

JRF2013年8月17日6482

上で「意味ない」と書いたのは言いすぎか…?いや、でも、パスワードを別にどこかで知って一発のトライで「侵入」するような相手は、秘密の質問があるというのを知ってれば、そこも対策してくるはず。一方、辞書式等の乱れ打ちでの攻撃に関しては、秘密の質問もアブナイのは同じ。

トライがあったときや、ログインがあったときに、それをユーザー等に通知する機能のほうがよほど大事で、それを任意の複数のメールアドレスに設定できるようにしたり、今だと Twitter 等のプライベートなところに通知できるようにするほうがよほど効果高いだろう。

JRF2013年8月18日8456

それがまた別のセキュリティの問題を生むというのは、要するに、強固になりすぎるがゆえに荒っぽい手法をとらざるを得ない者が出てくるという話に結局なるのだと思う。だから、逆に、そういう者達にアクセスできる正当な理由、事務の形式みたいなのを用意する必要があるのだろう。

そういう面では、↓の Web 通帳に掲示板を付ける的なアイデアのほうが大事なように思う。

JRF2013年8月18日8565

[aboutme:101756], [aboutme:101758],[aboutme:106193]

(…)
ネットバンクで、残高確認だけができるIDを発行できるようにしたりできないだろうか。
(…)
ナニ金であったように取付け騒ぎがあったときに定期預金を担保に別の金融機関から借金するときに残高証明用のIDも渡す。返済したら残高証明用IDは revoke (無効に)する。返済前の revoke は差し押さえの原因となりうるようにする。…とか。

JRF2013年8月18日2943

(…)
もちろん、一本の定期預金を二本に見せるようなことを許してはいけない。ログイン時に「足跡」を残せるようにし、(取引銀行の足跡でもなく)自分の知らな者の足跡があれば、差押えできるようにする、とか。
(…)
>>通帳とキャッシュカードを管理する<。ピントずれで恐縮だが、トークンがあっても通帳のないネットバンクは使えない?自力の日銭稼ぎにはまずPCが必要だろうにと私なぞは想う。ネット版「レジローン」も必要…?<


keyword: 電子金融

JRF2013年8月18日5343

ちなみに…。

「トークン」は私が以前口座を開設していたジャパンネット銀行が使ってたやつで、本人のパスワードの他に必要とされる数値列を時間ごとに変化して表示する小さなデバイスのこと。

これがあると「通帳とキャッシュカードを管理する」的に、準禁治産者(制限行為能力者)に近い人のトークンを別の者が管理する「脱法」的な運用が可能になる。

JRF2013年8月18日1982

« 前のひとこと | トップページ | 次のひとこと »

トラックバック


トラックバックのポリシー

他サイトなどからこの記事に自薦された関連記事(トラックバック)の一覧です。

» cocolog:78927508 from JRF のひとこと

小ネタ集。いつもの与太話よりもさらに与太を飛ばしてきます。話半分、ゆるしてちょ。 続きを読む

受信: 2014-03-30 23:36:52 (JST)