教えて下さい。
2段階認証と複雑なパスワードについてです。
普通はパスワードは大子文字英数記号の組み合わせで少なくとも10文字程のパスワードを推奨されてますよね。
あと、使い回しをしない等。
ただ、2段階認証にしておけばその必要はないと思うのですがどうして推奨されるのでしょうか?
極端に言えば「123456」でも構わないと思うのですが・・・・。
さらにSSOやIDaaSなどがあればパスワードというゴールのない作業から離れられると思うのですが・・・・。
そうではないと思います。
そうではないから複雑なパスワードを推奨されるのだと思いますがこのはてなを知りたいです。
よろしくお願いします。
No.1
120
39
パスワードが簡単だと2段階認証も実質1段階のようなものです。
仮にスマホで認証するとして、ランダムにパスワードを集めているハッカーからすれば物理的なスマホが必要になるとほぼ諦めると思います。
これがほとんどの場合に当てはまります。
しかし、身近な人からすればパスワードを推測するよりスマホを盗る方が簡単です。
偶然スマホを拾った場合も、パスワードが簡単だと悪用できます。
質問はパスワードが盗まれることしか想定していませんが、スマホ側だって盗まれる可能性があるので、複雑なパスワードを推奨するのは当然だと思います。
パスワードマネージャーは複雑なパスワードを管理するのに便利ですが、これだって使うときにはログインします。
このセキュリティをどうするか、となると元の話に戻ります。
1
0
1
4
2
もちろんスマホのロックも複雑にしたいところですが、注意点としては2段階認証をアプリで行い、認証コードをロック画面の通知に表示させないことです。
2017/06/07 11:06:50SMSや電話で認証する方式は、SIMを抜き取ったり端末の初期化で誰でもコードを受け取れるので効果は薄い。
また、可能性があるという意味ではスマホの使用中に強盗に遭うとロックは意味がありません。
個人的におすすめなのは一定のルールを作成し、サイト毎にパスワードを決める方法です。
簡単な例だと、hatenaを逆にしてanetahとか。
もっと複雑で桁数が多くなるようにすれば覚えなくてもその場で割り出せます。
入力するときに少し考える時間が必要だったり、パスワードを変更するときにどうするかという問題もありますが。
ヒントを記録するのもありだと思いますが、複数のヒントからパターンが割り出せるかもしれないので、なるべく推測されにくいヒントにしたいところです。
自分は最近捨てアカに不正ログインがあってからクラウド型のパスワードマネージャーを一部のアカウントで試しています。
マスターパスワードは16桁、スマホで2段階認証。
各サイトのパスワードは16桁をランダム生成。
自宅ではブラウザの拡張機能からログインすれば自動的に入力してくれますしスマホのアプリも同様、外出先でもサイトにログインすれば使えるので、今のところ満足しています。
ありがとうございます。m(__)m
2017/06/07 17:19:27まとめると
・2段階認証
・パスマネで16語の自分にしか分からないパスワード
・推測されにくいヒント
・各パスワードは16語
ですね。
ありがとうございました。m(__)m