ikepyonのだめ人間日記

セキュリティに関することを書いていく予定。

ケータイの流儀を常識と思いこむのは危険

http://bakera.jp/ebi/topic/3883
を見て、入力面倒だからID/パスワード入れなくてもいいように設計しているという簡単ログインにした理由で、個体識別番号で認証しているのなら、個体識別番号をID代わりにして、パスワードに10桁以上の数字を入れること&3回以上の失敗でロックアウトになんでしなかったんだろう?と思った。数字を10桁ぐらい入れるのであればそれほど面倒でもないと思うのだけど・・・

パスワードを数字限定にする必要性は全くないけどねw
入力が楽だからということで、数字のみにしたい人は数字だけにすればいいし、いやいや安全性をとりたいということで、アルファベットや記号を入れたい人は入れればいい。それこそ簡単なパスワードを入れる人は自己責任ということになるしな。
今の簡単ログインの仕様だと、それすら選択できないんだし。

普通のログイン機能があるサイトもあるけど、どうやってセッション管理しているかわからんし、それこそ個体識別番号をセッションID代わりに使ってるかもしれないからねぇ。最も、個体識別番号をセッションID代わりに使うのなんてダメだけどな。