タグ別アーカイブ: security

表現の自由を犯している「秘密の質問」という仕組み

ツイッターで秘密の質問についてつぶやいたら、反響がありました。その時のつぶやきはこちら。

もうちょっと自分の思っていることを膨らませて今回ブログを書いてみました。

「秘密の質問」とは、認証が必要なシステムで、その質問に対して本人しか答えられないはずの答えを求める機能です。

どんな仕組みか、そしてその安全面での不備はIPAのページを見ていただいたほうが良いと思います。… 詳しく読む

登録パスワードを平文でメール送信するサイトが残念ながら存在し、それは「パスワードを忘れた場合」の操作をすればわかる

この投稿は2016年1月31日に行っていますが、後述するようなサイトが少なくなることを願っています。

ユーザー登録が必要なサイトがある時、最近はTwitter認証かFacebook認証を使うことが多いのですが、どちらも使えない、もしくは使わないほうが良さそうと直感した時、ログイン頻度の低いサイトへのアカウント登録の場合には、私はデタラメのパスワードを入力します。

でたらめなのでパスワードを覚えません。

「次にログインする時どうするの?」

「パスワードを忘れた場合」を使います。

パスワードをわすれた時、そのサイトに登録しているメールアドレス宛に、パスワードをリセットするための方法を書いたメールが届きます。… 詳しく読む

繰り返しパスワード入力を強いる証券会社を英語で「securities」と呼ぶ違和感

今回は、「security」「securities」という英単語についてです。

日本語ではかけ離れた二つの意味を持つ一つの英単語

中学校で習う英語に、「interest」という単語があります。これは「興味を起こさせるもの」という意味で習うのですが、ほかにも

利子

という意味もあります。

interest
http://ejje.weblio.jp/content/interest

この意味での「interest」を知ったのは多分TOEICの勉強をしていた時だと思うのですが、日本語だとどう考えてもくっつくことのない二つの意味が英語で同じということに、不思議な面白さを感じたものです。

「安全」と「証券会社」

詳しく読む

パスワード再発行手続きが擬似的に二段階認証になるか、ITパスポートのサイトで試してみた

二段階認証とは

ユーザーが覚えているパスワードで認証するだけでセキュリティを維持するのは難しい、ということで、最近は二段階認証を導入するサービスが増えています。

GoogleではSMSや携帯メールでワンタイムパスワードを伝えてきますし、Twitterでは、初めて使うデバイスやアプリケーションからのログインがあった場合には、すでに利用されているアプリケーションで認証を確認します。オンラインバンキングでも最近はログインするとメール通知でワンタイムパスワードを伝えてくるところもあります。

二段階認証では以下の2つのことを実施します。

  • 本来認証しているはずの人間にコールバック
  • コールバック時にワンタイムパスワードを伝える
詳しく読む

パスワードの定期的変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている

(2015年の投稿のため、リンク切れや情報が古くなっている部分が一部ございます)

定期的なパスワード変更を奨めるサービス提供者や行政

ID・パスワードが流出する事件を受け、提供者や行政提供者側からユーザに対してセキュリティ対策の実施を喚起しています。

IDとパスワードの適切な管理 :警視庁(リング切れ)

この中で、「パスワードの定期的変更」がうたわれています。このパスワードの定期変更については、セキュリティ対策として余り有効ではないという方は結構いらっしゃいます。

詳しく読む