バックリンクのテストも兼ねての記事になります。
パスワードの定期的変更はパスワードリスト攻撃対策として有効か | 徳丸浩の日記
の記事を読んで、パスワードの定期変更の新しい視点を得ることができました。
まさか、まさかパスワードの使い回しの対策として考えられるとは一本取られました。
今までパスワードの定期変更について情報を追っていましたが、
これほど具体的な意見は見たことがありません。
逆に言えばパスワードの使い回しに対して別の解決策を提示できれば、
パスワードの定期変更を廃するための一歩にできるのではないでしょうか。
まずはパスワード入力画面で、
裏でこっそりと主要なWebサービスにログインを試みる手法を考えました。
ログインできればパスワードの使い回しなので、
そのパスワードを使えないという旨を伝えられます。
完全ではありませんが、
主要なWebサービスを防げば傷はかなり小さくできるでしょう。
…もちろんこれは却下です。
下手をするとサーバー側にパスワードの使い回しをしている事実を伝えることになり、
誰かが悪用することが目に見えています。
パスワードの使い回しは、
あくまでもクライアント側で判断しなければならないのです。
かと言ってパスワードマネージャーを使っている人は一部、
怠惰な人は当然のように使い回してしまうでしょう。
どのパソコンにも入っていて、
パスワードマネージャーのようにパスワードを知っていて、
使い回しを指摘できるような立場の機能は何かないでしょうか?
…Webブラウザ?
そうです。
Webブラウザのパスワードキャッシュはパスワードを知っています。
パスワードのテキストボックスがある画面で、
テキストボックスの中身がパスワードの使い回しならPOSTできなくさせるのです。
これならWebブラウザがサポートさえしてくれれば何とか…なるでしょうか?
ログイン画面の構成によって物凄くすり抜けそうな気がしますし、
何よりそれならWebブラウザ自体にパスワードマネージャーの機能を入れるべきです。
なんだか堂々巡りのような…
0 件のコメント:
コメントを投稿