とあるセキュリティコンサルタントの実践している、比較的安全で、ぼくも感心したパスワード秘匿の方法は、自分でさえ覚えられない全くランダムで長い文字列をパスワードに設定してどこにも保存しない、というもの。
— ねこぴっぴ (@lll_anna_lll) February 6, 2016
毎回ログインのたびに登録したメールアドレス宛にパスワードリセットのURLを送らせて、毎回同じように全くの乱数値にリセットしてるって言ってた。
— ねこぴっぴ (@lll_anna_lll) February 6, 2016
この方法のどこが賢いかというと、そのメールアドレス宛のメールを受け取れる人が自分のみって保証され、かつ乱数が推測困難でブルートフォースが現実的でない桁数であれば、これを破るのは現実的に不可能。
— ねこぴっぴ (@lll_anna_lll) February 6, 2016
どうもふしメロンです。
ツイッターでパスワードの話が流れてきたので投稿。
ふむ、なるほど一理ある。がこれを見て思った最初の一言はこうだ。
これってワンタイムパスワードで
問題ないんじゃねえの?
絶対問題ないよね!だって自分しか見れないと言う保証ならワンタイムパスワードで問題ないし、わざわざメールで送られてクリックとか煩わしいでしょ!
最近はスマホにもそういうアプリあるからそうしてくれるといいんだけどなー
まあでもこのツイートの手法は設置コストがほぼかからないので、煩わしさを除けばかなりいい線行くよね!
んーでもメールで送ったURLのみログインできる方式もいいとおもうなー
たぶんそっちのほうが楽でいいと思う!