パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった」記事へのコメント

  • by Anonymous Coward on 2019年01月30日 19時56分 (#3557094)

    上の方の人「おい!パスワード忘れたと言われたどうするんだ!」
    末端「暗合なんで復号できるから大丈夫です!」
    上の方の人「許可する」

    • by nemui4 (20313) on 2019年01月31日 6時24分 (#3557272) 日記

      >上の方の人「おい!パスワード忘れたと言われたどうするんだ!」

      つ ユーザ情報確認の上でパスワード再発行

      というのが通常フローだと思ってた。

      #「通常」ってなんやろ。

      親コメント
      • by nim (10479) on 2019年02月01日 12時28分 (#3558053)

        1回のみ使用可、時間制限つきパスコードを発行して、それを使って本人がパスワード再設定、というのがスタンダードな方法だと思います。

        パスワード自体の再設定を許すと、オペレータがそれを使えてしまうので。

        親コメント
    • by Anonymous Coward

      いや実際、パスワードを復元しなきゃいけないってこともなくはないわけで、復号できないハッシュじゃなく、復号できる暗号化もありなんじゃないかと思うよ。

      いくつか暗号化のキーがあって、そのうち一定数のキーが揃わないと復号できないとか、色々な仕組みは既にあるわけなんだけど、もっと簡単に使えるようにならないものか。

      • by Anonymous Coward

        ねぇよ。複合しなきゃならん仕組みになってる時点でダメダメ。

        • by Anonymous Coward

          そうかな?現代の仮想通貨はそうなってきてるみたいだけど。

        • by Anonymous Coward

          キーチェインとかみたいなパスワード管理システムは複合必須よ? 原理的に。
          生パスワードを辞めてSAMLやOAuthでみんな連携してくれれば良いのにというのは同意だが。

          • by Anonymous Coward

            おまえら一体何を複合しようとしてんだ?
            無知な経営者とわがままなユーザーのキメラ合体?

            # 暗号化の反対は「復号」

          • by Anonymous Coward

            パスワード管理システムは認証システムじゃないだろうが。何言ってんだか。

アレゲは一日にしてならず -- アレゲ見習い

処理中...