Twitter | Search | |
Hiromitsu Takagi
天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)- 高木浩光@自宅の日記(2019年7月8日) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが…
Reply Retweet Like More
ac Jul 8
Replying to @HiromitsuTakagi
「2000年ごろ、セキュリティを意識するようになって、複雑なパスワードに変えました。銀行など重要なサイト用のパスワードと、一般のサイト用のパスワード、お試し用の漏れてもいいパスワードの3つを主に使い分けていましたが、ずっと変更しないで使ってきました。」 えぇぇぇ!?
Reply Retweet Like
ac Jul 8
Replying to @HiromitsuTakagi
2015年以前は高木先生ですら複数サービスで同じパスワードを使い回していたという告白!??? 7pay よりもこっちのほうが衝撃的だった。
Reply Retweet Like
ac Jul 8
Replying to @HiromitsuTakagi
コピペさえ可能なら入力はパスワードマネージャーで解決するので、個人的にはパスワードは全然OKだし、スマホアプリがパスワード記憶しないのもむしろ好ましいと思う。 問題はパスワードマネージャーの信頼性。
Reply Retweet Like
ac Jul 8
Replying to @HiromitsuTakagi
第三者は基本信用しちゃいけないので、中身が不明なクローズドソースは論外だし、OSSでもコンパイル済みのは信頼性が担保できない。 OSS のを自前コンパイルが理想だけど、どう考えても万人向けのソリューションじゃない。
Reply Retweet Like
ac Jul 8
Replying to @HiromitsuTakagi
極論すれば端末やOSのベンダーさえも信用出来ないが、現実問題としてそこは信用せざるを得ないので、Microsoft、Google、Appleがビルドして公式に配布するOSSのパスワードマネージャーが提供されるのが現状で最も現実的な理想解じゃないかと思う。
Reply Retweet Like
ac Jul 8
Replying to @HiromitsuTakagi
今回 7pay で問題になっている、登録してないメアドでパスワードリセット出来ちゃうような穴からは話題が逸れてしまった。 こんなのユーザーサイドでいくらパスワードの強度や管理を頑張っても回避しようがない気がする。
Reply Retweet Like
ac Jul 8
Replying to @HiromitsuTakagi
それにしても、チーム内にただの1人さえもこれに問題を呈する人間がいなかったというのは、不思議でならない。 G Suite でさえも14年間もパスワードを平文で保存していたという話もあるし、分業の弊害で全体に目を通す権限を持った人が一人もいないとか我々の想像を超えた根本的な原因が潜んでそう。
Reply Retweet Like
Ken Sugar🌏 Jul 9
Replying to @HiromitsuTakagi
次章用バナー
Reply Retweet Like