アカウント名:
パスワード:
他社のサービスでgoogleアカウントとか要求するやつ。パスワード使いまわしと同じで、あれってセキュリティ的にどうなの?と思う
OAuth [wikipedia.org]
セキュリティに絶対の安全などないけど、パスワード使いまわしとはまるで違う。
FB、数億人分のパスワード暗号化せずに保管 社内閲覧可能 [sankei.com]なんてことがあると危険度はまるで違うともいえないような…「Facebookだから危険、Googleなら安全」なんて言わせないぞ
危険度はまるで違う。(断言)漏れる可能性はゼロにできなくても、その流出元となりうるのは基本的に一か所のみ。パスワード使いまわしたと同じパスワードを使ったすべてのサービスが流出元になりうる。
社内の誰もが閲覧可能でも一か所は一か所か
そりゃそうよ。複数サービスでパスワード使いまわせば「社内の誰でも閲覧可能」の可能性と閲覧可能な人数を確実に増やすのだから。
大元が乗っ取られたら他全部乗っ取られるリスクあるけどね。漏れる可能性が1箇所だけ、という点ではリスクは低くなってはいるけど、漏れた時のダメージはパスワード使いまわしと同等。Googleのセキュリティは高いからその点はかなり大丈夫だろうけど、これはGoogleだから言えることで、米Yahooとかだったら大丈夫とは言えないな。
# Googleはプライバシー問題を抱えてるけどセキュリティ面では世界最高だと思ってる。
漏れる可能性が1箇所だけ、という点ではリスクは低くなってはいるけど、漏れた時のダメージはパスワード使いまわしと同等
その通り。だから「大丈夫だ」とは言ってないし、流出元となりうる個所を大きく減らせるのだから「危険度はまるで違う」。何度同じことを言わせる気?
なんかムキになってる部分がよく分からないんだが
セキュリティリスクは各サービスで別ID別PASS管理 OAuth パスワード使い回しということを主張している、でOK?
不等号が消えてまっせ(笑)
フェデレーションのこと?サービス毎にアカウント管理されるより安全ですよ
Googleのアカウントをちゃんと管理できていれば間違いなくセキュアですIdPがそこら中にある方が異常なんです
これ主語は何ですか?アカウントの持ち主?それともGoogle?
他社のサービスでgoogleアカウントとか要求するやつは、Googleのアカウントをちゃんと管理できていれば間違いなくセキュアです
Googleがちゃんとアカウント管理してるかどうかは気にならない?Google製アプリが生パスワード送信してないかとか検証できる?「多分大丈夫だろう」なセキュリティなんてないのと同じ
Googleアカウントが漏れたらまずいけど、Googleアカウントだけで管理できます。利用している他社のサービスが攻撃受けても(連携解除する必要はあるけど)大丈夫。たいていいくつかのプロバイダが用意されているので、安心できるところを選んでください。
セキュリティが気になるなら、・他のIdPを使う・そのサービス独立のユーザー認証系を使う・そのサービスの使用を諦めるなど、すべての選択肢はあなたに託されています。
どっちかというと、Googleに自分がどのサービスを使っているか全部把握されてしまう、じゃね?
それな・紐付けが捗る・ちょっと待て、それ、フィッシングぢゃない? 他のアカウント入れていいのか?
使い回しのリスクとは違うが、統合認証の利便性と破られた時の影響範囲はトレードオフの関係にあることは設計時点でわかってることなので問題ではない。
むしろGoogleのアカウントで認証通すとGmailアドレスが相手にバレるのが痛い。スパム送ってきやがる提携先も少なくないし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
アカウント縦断って止めてほしい (スコア:0)
他社のサービスでgoogleアカウントとか要求するやつ。
パスワード使いまわしと同じで、あれってセキュリティ的にどうなの?と思う
Re:アカウント縦断って止めてほしい (スコア:3, 参考になる)
OAuth [wikipedia.org]
セキュリティに絶対の安全などないけど、パスワード使いまわしとはまるで違う。
うじゃうじゃ
Re: (スコア:0)
FB、数億人分のパスワード暗号化せずに保管 社内閲覧可能 [sankei.com]なんてことがあると危険度はまるで違うともいえないような…
「Facebookだから危険、Googleなら安全」なんて言わせないぞ
Re:アカウント縦断って止めてほしい (スコア:1)
危険度はまるで違う。(断言)
漏れる可能性はゼロにできなくても、その流出元となりうるのは基本的に一か所のみ。
パスワード使いまわしたと同じパスワードを使ったすべてのサービスが流出元になりうる。
うじゃうじゃ
Re: (スコア:0)
社内の誰もが閲覧可能でも一か所は一か所か
Re:アカウント縦断って止めてほしい (スコア:1)
そりゃそうよ。
複数サービスでパスワード使いまわせば「社内の誰でも閲覧可能」の可能性と閲覧可能な人数を確実に増やすのだから。
うじゃうじゃ
Re: (スコア:0)
大元が乗っ取られたら他全部乗っ取られるリスクあるけどね。
漏れる可能性が1箇所だけ、という点ではリスクは低くなってはいるけど、漏れた時のダメージはパスワード使いまわしと同等。
Googleのセキュリティは高いからその点はかなり大丈夫だろうけど、これはGoogleだから言えることで、米Yahooとかだったら大丈夫とは言えないな。
# Googleはプライバシー問題を抱えてるけどセキュリティ面では世界最高だと思ってる。
Re:アカウント縦断って止めてほしい (スコア:1)
漏れる可能性が1箇所だけ、という点ではリスクは低くなってはいるけど、漏れた時のダメージはパスワード使いまわしと同等
その通り。
だから「大丈夫だ」とは言ってないし、流出元となりうる個所を大きく減らせるのだから「危険度はまるで違う」。
何度同じことを言わせる気?
うじゃうじゃ
Re: (スコア:0)
なんかムキになってる部分がよく分からないんだが
セキュリティリスクは
各サービスで別ID別PASS管理 OAuth パスワード使い回し
ということを主張している、でOK?
Re: (スコア:0)
不等号が消えてまっせ(笑)
Re: (スコア:0)
フェデレーションのこと?
サービス毎にアカウント管理されるより安全ですよ
Re: (スコア:0)
Googleのアカウントをちゃんと管理できていれば間違いなくセキュアです
IdPがそこら中にある方が異常なんです
Re: (スコア:0)
これ主語は何ですか?
アカウントの持ち主?それともGoogle?
Re: (スコア:0)
他社のサービスでgoogleアカウントとか要求するやつは、Googleのアカウントをちゃんと管理できていれば間違いなくセキュアです
Re: (スコア:0)
Googleがちゃんとアカウント管理してるかどうかは気にならない?
Google製アプリが生パスワード送信してないかとか検証できる?
「多分大丈夫だろう」なセキュリティなんてないのと同じ
Re: (スコア:0)
Googleアカウントが漏れたらまずいけど、Googleアカウントだけで管理できます。
利用している他社のサービスが攻撃受けても(連携解除する必要はあるけど)大丈夫。
たいていいくつかのプロバイダが用意されているので、安心できるところを選んでください。
Re: (スコア:0)
セキュリティが気になるなら、
・他のIdPを使う
・そのサービス独立のユーザー認証系を使う
・そのサービスの使用を諦める
など、すべての選択肢はあなたに託されています。
Re: (スコア:0)
どっちかというと、Googleに自分がどのサービスを使っているか全部把握されてしまう、じゃね?
Re: (スコア:0)
それな
・紐付けが捗る
・ちょっと待て、それ、フィッシングぢゃない?
他のアカウント入れていいのか?
Re: (スコア:0)
使い回しのリスクとは違うが、統合認証の利便性と破られた時の影響範囲はトレードオフの関係にあることは設計時点でわかってることなので問題ではない。
むしろGoogleのアカウントで認証通すとGmailアドレスが相手にバレるのが痛い。スパム送ってきやがる提携先も少なくないし。