はてなは公開IDなんで、パスワードが漏れるだけでアカウントが乗っ取られてしまう

はてなはIDとパスワードの２つでログイン出来るわけだが、IDのほうは公開されてるものなんで、パスワードが漏れるだけで簡単にアカウントが乗っ取られてしまう。 はてなブックマークのみならこれでいいかもしれんが、はてなブログもこれでログインできてしまうのはさすがに怖い。ブログは財産なので早めに対策してほしい。 ツイートする

[aukusoe]

うんこ漏らしの達人である増田がパスワードを漏らさずにいられるか？ 実に興味深い。

[watto]

「はてな」に関してはIDとニックネームがあるんだから表記はニックネームにしてもいいかも。

[fukken]

守備力を上げたい人向けに追加の認証方法を提供するのはよいアイデアなので、要望を出せばいいと思う。TOTP等なら実装はさほど難しくないので、通る可能性はそこそこ高い

[Cald]

こんな風に乗っ取ったアカウントでブクマもできます

[PowerEdge]

ログイン用IDと表示用IDは確かに分けるべきで、ログインにメアドとパスワードの組み合わせを使う仕組みはこの点において（のみ）優れてる。

[sny22015]

携帯番号も自宅住所も公開しているサイバーメガネさんのブコメは何故か説得力ある

[hungchang]

なるほどたしかに。ログインIDと表示IDが違うサービスも結構あるなあ。

[NOV1975]

相手が誰でもいい総当り攻撃なんてWKなパスワード固定でID変えてったほうが当たる可能性高いのでこの手の文句言う人はid20桁くらいはあるんだろうな？文字種は混在だろうな？とかいいたくなるｗ

[ene0kcal]

～も公開だからって、ちょと違う。攻撃者の視点に立つと表示IDとログインIDが違うと難易度が確実に上がる。

[aosiro]

星もらおうとして滑ってるのは多分乗っ取られてるんだと思うの

[dowhile]

はてなの場合は常時httpsじゃないのでそれも問題

[deep_one]

…まぁたいていのシステムはそんなもんだが。確かに最近は「二要素認証」とかもあるけど。／↓IDはURLに使われているから、重複があり得る（と思う）ニックネームでは代用できないですな。

[kuniharumaki]

まあ、IDは公開でいいけど、そろそろ二段階認証実装してくれてもいいのよ、とは思う。

[houyhnhm]

二段階認証はそろそろやって良いかも知れないけど、認証周り内部でどうしてるかだろうなあ。

[ysync]

特段必要性は感じないが、2段階認証の選択肢はあるほうがいいかもね。

[thyself2005]

そうだね、2段階認証とかあるといいよね。ちなみにAmazonはIDの代わりに電話番号使えるからそっちも何とかして欲しいでつね。

[sds-page]

Plusユーザーは金払ってるんだしそれくらい用意してくれてもいいよな

[kagioo2uma]

id変更させてほしい

[poko_pen]

IDを使いまわすだけでなく、パスワードも同じだったりするから、何処から漏れてリスト型攻撃されちゃうからね。乗っ取りって目立ってないだけで頻繁に起きてるので、他人事ではないけどね

[hanenone]

二段階認証で解決する。

[genkiegao]

括約筋鍛えろよ。

[iwadon]

idを使った機能を今更捨てる訳にはいかないだろうから、やるならログインに使う名前をはてなID以外の別のものにするか、二段階認証とかかなあ?

[pmint]

パスワード欄2つにすれば安全という話。でもそんな事をしてるサイトは世界中のどこにも無い。これでもう分かると思う。似たようなものが複数あっても無駄。/ IDは言葉通りで騙りを防ぐものなんだけど、そこからか。

[Sediment]

それはそうかもね。ワンタイムパスか２段階認証か。俺はそれほどの財産とは思ってないけど。

[nakex1]

2段階認証とかがあるといいよね。