2008-02-01

http://anond.hatelabo.jp/20080201160547

ログイン用のIDがばれたらIDが判らないよりその人のアカウントは盗みやすくなるよね?

それはパスワードの強度が足りないだけであって、ID秘密にすべき理由にはならないよ。

IDを漏らしてはならない、というのであれば、IDパスワードを分ける意味がない。(ID秘密情報なんだから、IDだけあれば十分)

記事への反応 -
  • http://anond.hatelabo.jp/20080130215148 ほんとほんと。 はてなにだってすごい脆弱性がある。 最近更新されたダイアリー一覧とかいうのがある。 無限に過去をさかのぼって一覧をみることができ...

    • お前らのその「赤信号みんなで渡れば怖くない」的な責任回避が気に入らない。あと何を知ったかぶりたいのか知らないけど、その程度で「構造的脆弱性」とか「システム設計(笑)がいか...

      • ヨコレス。 アカウント名を他人に知られることは別に危険ではない。"ID"と"パスワード"で2元的に管理してるだろ?パスワードが容易に推測できる場合が問題なだけ。誤ったセキュリテ...

        • 君が何を言ってるのかわからないよ セッション維持にIDを使う設計がクソなだけで、それと(まっとうに設計されている)システムでのID公開は別じゃん

          • まじで? なんで俺まで噛みつかれちゃったんだろ。 セッションハイジャックなんかの話はしてないつもりだよ。 ログイン用のアカウントは収集可能なところに晒さないのは当然の流れな...

            • ログイン用のIDがばれたらIDが判らないよりその人のアカウントは盗みやすくなるよね? それはパスワードの強度が足りないだけであって、IDを秘密にすべき理由にはならないよ。 IDを...

              • なんでこんなに強情なんだろう? ・パスワードの強度はユーザー依存 ・IDが隠蔽されていたら特定のユーザーを狙うことができない ・IDバレした状態でパスワードが20文字あるよりも、I...

                • ・IDバレした状態でパスワードが20文字あるよりも、IDが隠蔽された状態で6文字のPASSの方が強度がある これはおかしい。 IDなんて、大抵辞書に載ってそうな言葉なんだから、IDバレ&...

                  • ベストなのは秘密ID20文字+パスワード20文字ていう結論ですか? 銀行の暗証番号を誕生日4桁に設定するなんてもってのほかだと思うけれど、IDが知られなければ特定個人へのクラックも出...

            • IDやその人自身の属性に関連したパスワードをつけてしまうアホを考えると、確かにIDは知られにくい方が良いように思えるかもしれない。 そういったアホに対して、IDも知られない方が...

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん