パスワードリセットに関する佐名木氏と徳丸の会話
@tomoki0sanaki アカウント乗っ取りが一瞬でも許容できないとすると、(1)メールは盗聴の可能性があるので、メールによるパスワードリセットも許容できない、あるいは、(2)メールの盗聴のリスクは無視して差し支えないリスクであり、メールによるパスワードリセットも許容できる…
2013-05-16 09:22:04@ockeghem うーん。私にはついていけない、難しい概念です。「メール盗聴のリスク」=「パスワードを定期的に変更しなければならない状況」ではないんですか?
2013-05-16 09:22:21@ockeghem 「メール盗聴のリスク(前提)」=「パスワードを定期的に変更しなければならない状況」から、「パスワードを定期的に変更しなくてもすむようにリスクコントロールしましょう」と前提を否定する結論になっていませんか!?
2013-05-16 09:24:05@ockeghem うーん、(1) をとりたいですが、実際に「メールって盗聴されるのか!?」という疑問もあるし、それでは世の中回らないので、どちらかというと (2) でしょうか。
2013-05-16 09:30:07@ockeghem ここです。私の主張は「運が悪ければ乗っ取られるわけですが」ではなくて「メール盗聴のリスクを考えしまうと、URIでも新パスワードでも、どちらでもかなりの頻度で乗っ取られるです」。理由は、パスワードリセットを攻撃者のタイミングで実施できる、というのが前提です。
2013-05-16 09:33:03@ockeghem 「乗っ取られたで遅滞なく気づけるというのがコントロールです」は、利用者が最初のログインでパスワード変更(メールが飛ぶのが前提)してもよいということですね。まぁ、これは利用者側の対策であって、サイト側の対策ではないですか。
2013-05-16 09:38:37@tomoki0sanaki 「メール盗聴のリスクを考えしまうと、URIでも新パスワードでも、どちらでもかなりの頻度で乗っ取られるです」<ここは同意ですよ。そのリスクがあるから、どうしようかという話です。これに対して3つの立場があり得ると考えます(続く)
2013-05-16 09:39:03@tomoki0sanaki 3つの立場とは、(1)リスクがあるからパスワードリセットにメールは使わない、(2)リスクがあるのでリスクを軽減するコントロールを追加する、(3)実際にはメール盗聴なんかあり得ないので気にしない…佐名木さんはどの立場ですか? あるいは第4の立場ですか?
2013-05-16 09:40:24@ockeghem (4) です。「リスクがあるのでリスクを軽減するコントロールを追加してもいいけど、実際にそんなことできるのか!?」です。
2013-05-16 09:46:09@ockeghem パスワード・リセットの利用者に強度のあるパスワードを強制できる(利用者が自分の好きなものに変更するまでだけど)という利点も忘れないでください。
2013-05-16 09:49:21@tomoki0sanaki それは、仮にやりたければ、「安全なパスワードに変更する機能」として、HTTPS上のサービスとして実装すればよい話で、メールを介する必要はありません
2013-05-16 09:53:26@tomoki0sanaki はい。誰も使わないと思います。LastPassや1Passwordのようなパスワード管理ツールと組み合わせないと、乱数のようなパスワードは管理が難しいので…なので、パスワード管理ツールを使うか、自分で工夫したパスワードをつけるということになります
2013-05-16 10:06:42@ockeghem この意味は、そもそも「メール盗聴のリスク」を前提にしているのに「(3)実際にはメール盗聴なんかあり得ないので気にしない」は選択しにかったですね。もし「(3)実際にはメール盗聴のリスクは低いので、コントロールしなくてもいいだろう」なら選択できたかも知れません。
2013-05-16 10:07:32@tomoki0sanaki 結局同じことですよね。メール盗聴のリスクは低いので受容する、ということですね。でも、そうなると、WebのHTTPSはもっと不要になる気もしますが、その点についてはいかがですか?
2013-05-16 10:11:44