Q&A
ご回答ありがとうございます
MSって明確にルール決めてたんですね。
メディアで伸ばし棒付きで使われてるならサービス上の文言は付ける方がよさそうですね。
お世話になります。
一般的なサイトのパスワード変更って、
現在のパスワードと新しいパスワード、
そして確認用にもうひとつ新しいパスワード。
という入力が一般的で、自分もそれが常識だと思ってたんですが、
よくよく考えたら、現在のパスワードを入れるメリットって具体的にどんなことがあるんでしょうか。
ログインしてから変更する以上ブルートフォースとかの不正ログインへの対策にはならなそうですが。
ログイン済みのPCを勝手に使われた対策とか、
セッションハイジャック(フィクセーション)対策とかでしょうか。
よろしくお願いします。
ちなみにタグ付けて気になったけど「セキュリティ/セキュリティー」って伸ばし棒付ける派ですか?
僕は付けない派です。
回答4件
0
ベストアンサー
仰るようにログイン済みPCを使われた場合や、セッションフィクセーション等の、パスワードはばれてないけど利用されている場合の対策だと思いますよ。
これらの様に、一時的に利用できるようにする手法において、パスワードが分からなくても恒久的に乗っ取る事が可能な手段が用意されているのは非常に良くありません。
主に管理的にですが。
リスクを考えたら、そこにパスワード認証を別途もう一段階かける方がコスト的に有利な場合が多いでしょう。
ただ、これだと結局パスワード変更ページ自体は触れてしまうので、最近のサービスではメールからのパスワード変更が多くなってきたように思います。
あと「セキュリティ/セキュリティー」は伸ばさない派です。
たぶんですが、伸ばさない記述はある種の業界用語的な使い方だと思います。
IT系でないお客さん向けの資料では伸ばすように気を付けますしね。
投稿2014/11/28 05:02
総合スコア384
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2014/11/28 07:55