7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(デジタル庁統括官)
7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを決断した経験があるが、これは奇妙なことだ。 一般にパスワードリスト攻撃を受けている場合では、全利用者のパスワードリセットを行う必要はない。リスト型攻撃が成功した利用者に限ってリセットを行うのが一般的な運用だ。 パスワードをリセットすると多くの利用者が離脱する上に、サポート窓口の負荷が上がるため、数十万人のパスワードをリセットする場合も、時間をかけて反応を見ながら徐々に行う運用が一般的だ。 全利用者のパスワードをリセットする必要があるのは、例えばバグや脆弱性の性質から被害者を特定でき
Google, Slackなどの最先端のサービスのログインフォームで、メールアドレス欄とパスワード欄をわけるようになったのはなぜですか?
回答 (3件中の1件目) SAMLやOpenID Connectを使った認証連携や、FIDOをはじめとしたパスワードレス認証に対応するためですね。昔と違ってIDとパスワードが単純に紐付いているとは限りません。メールアドレスの入力とパスワードの入力で画面を分けていれば、そのメールアドレスのユーザーが例えばIdPとしてG SuiteやActive Directoryを利用している場合、メールアドレス入力後にパスワードの入力画面ではなく、IdPのログイン画面に遷移させることができます。またFIDOなどパスワードレス認証を使っている場合も、パスワード入力欄ではなく、生体認証の画面を出すことができ...
気遣いのあるデザインの裏にある努力 - ワザノバ | wazanova
http://paulstamatiou.com/twitter-video/ 1 comment | 0 points | by WazanovaNews ■ comment by Jshiike | 38分前 フレームワークやツールが進化することで、そこそこのスキルがあれば比較的短い期間でもそれなりのプロダクトをつくれるようになるという恩恵を世の中全体が享受できますが、一方で才能のある人たちは、その便利になった道具を利用して、更に先に進みます。そしてUIの競争は際限なく続きます。 一つの目のパターンは、意外なところまで気遣いをしているので、それを発見したときにポジティブな喜び、驚きを感じるところ。 Slackを使っていると、 登録済のパスワードの入力を求められる画面で、スマホキーボードでのパスワード入力を面倒に思う人、もしくはパスワードが長い人に配慮して、「パスワードを入力する替わり
パスワードの安全性強度について - ネコメシCEOブログ
NAVERアカウントの会員登録フォーム、新しく作成するアカウントのためのパスワードを入力していくと、そのパスワードの安全性強度が示されるので、複雑なパスワードでありつつも自分では覚えやすいものとかっていうように、確認しながらアカウントを作成できるので、親切な機能であるといえる。 とりあえず8文字くらいアルファベットを入れていくと、強度「低」と表示された。 数字を追記していくと、強度「中」になった。 さらにピリオドやびっくりマーク(エクスクラメーション)など記号を挿入していくと、強度「高」、やったね! ちなみに記号を含めないと「高」の称号はゲットできませんからね! よしよし、これで安全なアカウントが作成できそうだと、満足して「アカウント登録」を押すと… パスワードには半角英数で入力してください。 ……。 アホなのだろうか? いや、安全性強度が中くらいのアカウントなので、定期的にパスワードを変
IE10にはパスワード表示ボタンが付いている
昨日のブログエントリ「楽天koboのログイン画面にも「パスワードの表示」ボタンがついた」に対して、twitterでコメントを頂戴しました。 そういえばIE10には目アイコン(マウスボタン押下している間伏せ字解除)が付いてたような…… QT @ockeghem: 日記書いた 楽天koboのログイン画面にも「パスワードの表示」ボタンがついた - ockeghemのtumblr bit.ly/Tnk0I8 11月 11, 2012手元のノートPCにWindows8を導入してIE10のパスワード欄を確認したら、確かに目アイコン(というのかな?)があり、マウスボタンを押下している間だけパスワードを表示しますね。 以下は、Windows8上のIE10で、evernoteのログイン画面を表示しているところです。IDとパスワードは架空のものです。 上記のように、通常はパスワードが伏せ字になっていますが、パ
My docomoはパスワードのコピペを禁止するな - ただのにっき(2012-11-11)
■ My docomoはパスワードのコピペを禁止するな 今回SoftBankからdocomoにMNPしたので請求書の確認なんかをするのにWebサイトに登録しないといけないなと思って、My docomoにユーザ登録をした。携帯との紐付けにワンタイムパスワードをSMSで送ってきたりして、ほぼPCだけで完結する手順はまぁまぁわかりやすかったのだけど、パスワードを決めるところで途方に暮れてしまった。 8~20文字の英数記号と書いてあるので、いつものようにKeePass Password Safeで最大文字数・文字種のパスワードを生成し、さぁ入力、という段になってこれである: もうね、これでセキュリティが高まると思ってるんだとしたら大間違いだってことにそろそろ気づけよ。こんなこと言われたら、短くて入力しやすい文字種のパスワードしか作らないに決まってるだろ。この仕様を決めたのが発注者か開発者か知らんけ
Yahoo!の『秘密の「質問」と「答え」』の変更方法
Yahoo!Japan IDは、現在は新規登録時に必ず『秘密の「質問」と「答え」』の登録が義務づけられており、パスワードリセットなどで用いられます。 そして、この『秘密の「質問」と「答え」』は、いったん登録すると変更することができません。 秘密の「質問」と「答え」の内容は、Yahoo! JAPAN IDの登録後に、確認および変更できません。 http://help.yahoo.co.jp/help/jp/edit/edit-43.html しかしながら、『秘密の「質問」と「答え」』の質問の方は、あらかじめ用意された選択肢から選ぶようになっており、第三者が予測できそうなものが多いのが現状です。 子どものころのあだ名は?初めて買った曲のタイトルは?初恋の人の名前は?子どものころの夢は?座右の銘は?初めて飼ったペットの名前は?祖父の下の名前は?生まれた病院は?初めて行った海外の国・地域は?小学1
COOKPADの「伏せ字にせず入力」ボタンは素晴らしい
@tokuhiromから教えてもらったのですが、COOKPADのスマートフォン向けWebサイトのログインページには、パスワードを「伏せ字にせず入力」するボタンがついているのですね。 さっそく見てみましょう。まずはログイン画面です。パスワード欄の下側に、「伏せ字にせず入力」ボタンが見えます。 「元に戻す」ボタンを押すと、伏せ字に戻ります。 僕はこれを知って興奮しました。なぜなら、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方」には以下のように書いたからです(P337~P338)。 パスワード入力欄のマスク表示は、現在の常識的なガイドラインですが、実は筆者自身は疑問を持っています。パスワード入力欄をマスク表示にすると、記号や大文字・小文字交じりの安全なパスワードを入力しにくくなるので、利用者は簡単な(危険な)パスワードを好むようになり、かえって安全性を阻害するリスクの方が大きいのでは
フォーム自動入力(x-autocompletetype)の実験
※ご注意: ウイルスバスターがインストールされている環境だと、この記事は読めないようです (→参考画像) (x-autocompletetypeとは?) Webサイトのフォームにワンクリックで個人情報を自動入力してくれる便利機能。ブラウザに、あらかじめ名前やメールアドレスや住所やクレジットカード番号などの情報を設定しておく。 アンケートサイトとかに超便利 入力が苦手なオカンも便利 とにかくべんり Google Chrome のみ対応してる (2012年4月4日時点)。 便利すぎて今後、他のブラウザも追随必至。 (ユーザーが自動入力を使うには) Google Chrome 設定 → 個人設定 → 自動入力設定の管理 → 住所氏名メールアドレス等を入れておく (Webページ側での自動入力の設定) inputにx-autocompletetype属性をつけて、値を email とか sname
キャズムを超えろ! - 団塊~シニア層向けのWeb設計 やっちゃいけない10のUI
一時期パソコン教室の講師をやっていたことによる経験と、昨今Webサービス運用にあたって中高年層からのクレームなどを自分なりにまとめた結果として、50代以上のユーザに対するWebサービス&PCアプリケーションのUI設計における以下10のTIPSを公開してみたいと思う。...といってもたかだか10個で収まる簡単な話ではないので、思いついたら都度追加して行きたい。 ID,ニックネームを考えさせてはいけない。半角英字開始限定は論外 IDやニックネームが思いつかない方が多い。これはシニアに限らず、ITリテラシーがそれほど高くない若年層についても言えること。作る側の人間も「過去にWebで使ったID,Nicknameは全て使っちゃダメ。何か新しいのを考えて入れてみて。」と言われると結構悩んじゃうもの。それと同じ状態に陥ると思っていただけるとわかりやすい。「IDのかわりに電話番号でもいいですよ」というと結
パスワードを隠すのをやめよう? | 水無月ばけらのえび日記
公開: 2009年7月4日0時55分頃 「パスワードを隠すのをやめよう (www.usability.gr.jp)」。スラッシュドットで「パスワードのマスキングは廃止すべき (slashdot.jp)」という話題が出ていましたが、その元ネタの日本語訳です。 利用者が選択できるようにするべき、という話に関しては、スタンドアローンのアプリケーションにはそのようにしているものもありますね。たとえば秀丸メールでは、パスワード入力欄の横に「見ながら入力」というボタンがあって、それを押すと見ながら入力することができるようになります。 それから、マスキングしないようにした場合、ヤコブさんが言っているほかにも大きなメリットが出てきます。それは、パスワードに非ASCII文字が使用できるようになるということです。現状では、パスワードに日本語の文字を使用できるケースはほとんどないと思いますが、それはパスワード入
ログインを優れたものにする11の方法 | エンタープライズ | マイコミジャーナル
SitePoint - 11 Expert Tips For Enhancing The User Login Process WebサービスやWebアプリケーションをローンチしたときは開発者もやる気に満ち溢れ、初期ユーザからもいいフィードバックがもらえる。ユーザは自分の意見がストレートにサービスに反映されることを嬉しく感じ、デベロッパも開発に手応えを感じ熱心に改善する。しかし時が半年も経つといつのまにかユーザが遠のいている。よくある話だ。 Webサービスは導入までの敷居が低いため、ユーザはちょっとでも不便なUIがあると使う気が失せて別のサービスを探すようになる。たとえばそれがログイン部分であったら致命的だ。ログインしてもらわないことにはまず使ってもらえない。ログイン処理はセキュリティであったりユーザ体験であったりもっとも重要な部分だ。 Gary Barber氏がSitePointに11
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
