ツイッターで秘密の質問についてつぶやいたら、反響がありました。その時のつぶやきはこちら。
秘密の質問というバカな仕組みがあるせいで、好きな映画のタイトルも、母方の旧姓も、出身小学校のことも話さなくなった。 https://t.co/O8yIwzPIMc
— まるおかディジタル (@maruoka_digital) 2016, 2月 3
もうちょっと自分の思っていることを膨らませて今回ブログを書いてみました。
「秘密の質問」とは、認証が必要なシステムで、その質問に対して本人しか答えられないはずの答えを求める機能です。
どんな仕組みか、そしてその安全面での不備はIPAのページを見ていただいたほうが良いと思います。… 詳しく読む
この投稿は2016年1月31日に行っていますが、後述するようなサイトが少なくなることを願っています。
ユーザー登録が必要なサイトがある時、最近はTwitter認証かFacebook認証を使うことが多いのですが、どちらも使えない、もしくは使わないほうが良さそうと直感した時、ログイン頻度の低いサイトへのアカウント登録の場合には、私はデタラメのパスワードを入力します。
でたらめなのでパスワードを覚えません。
「次にログインする時どうするの?」
「パスワードを忘れた場合」を使います。
パスワードをわすれた時、そのサイトに登録しているメールアドレス宛に、パスワードをリセットするための方法を書いたメールが届きます。… 詳しく読む
今回は、「security」「securities」という英単語についてです。
中学校で習う英語に、「interest」という単語があります。これは「興味を起こさせるもの」という意味で習うのですが、ほかにも
利子
という意味もあります。
interest
http://ejje.weblio.jp/content/interest
この意味での「interest」を知ったのは多分TOEICの勉強をしていた時だと思うのですが、日本語だとどう考えてもくっつくことのない二つの意味が英語で同じということに、不思議な面白さを感じたものです。
ユーザーが覚えているパスワードで認証するだけでセキュリティを維持するのは難しい、ということで、最近は二段階認証を導入するサービスが増えています。
GoogleではSMSや携帯メールでワンタイムパスワードを伝えてきますし、Twitterでは、初めて使うデバイスやアプリケーションからのログインがあった場合には、すでに利用されているアプリケーションで認証を確認します。オンラインバンキングでも最近はログインするとメール通知でワンタイムパスワードを伝えてくるところもあります。
二段階認証では以下の2つのことを実施します。
(2015年の投稿のため、リンク切れや情報が古くなっている部分が一部ございます)
ID・パスワードが流出する事件を受け、提供者や行政提供者側からユーザに対してセキュリティ対策の実施を喚起しています。
IDとパスワードの適切な管理 :警視庁(リング切れ)
この中で、「パスワードの定期的変更」がうたわれています。このパスワードの定期変更については、セキュリティ対策として余り有効ではないという方は結構いらっしゃいます。