Monday, 30 September 2013

id と password

なんか日経で「統一ID」みたいな話をちらっと見ましたが、

* それは管理する側に都合が良いだけだろう?

これだけ大規模な password 漏洩が続くと、

* サービスごとに id / password を変える

ってのが必須だと思う。そして、

* password は自分で考えないで、生成器を使う

そうでないと強度が弱すぎる。知ってる単語とか、もっての他ですね。

Twitter でも乗っ取られたアカウントがちらほら。急に spam 出すようになったり。おお、怖。

OAuth とかも流行りましたが、temporary なものには良いと思うんだ。でも、常用するのはちょっとね。一つ破られたら、連鎖するのは停められない。

そうして、大量に生成されたランダムな password は、

* どっかに覚えておくしかない

Keychain でも良いんだけど。そこの元の password は結局一つ? なんだかね〜

生体認証も良いんだけど、あんまり強度を上げることが良いとは思わないです。

* サーバ上以外に重要な情報を置かない

ってのが基本な気もする。個人の情報自体は、それほど重要ではないので。

No comments: