なんか日経で「統一ID」みたいな話をちらっと見ましたが、
* それは管理する側に都合が良いだけだろう?
これだけ大規模な password 漏洩が続くと、
* サービスごとに id / password を変える
ってのが必須だと思う。そして、
* password は自分で考えないで、生成器を使う
そうでないと強度が弱すぎる。知ってる単語とか、もっての他ですね。
Twitter でも乗っ取られたアカウントがちらほら。急に spam 出すようになったり。おお、怖。
OAuth とかも流行りましたが、temporary なものには良いと思うんだ。でも、常用するのはちょっとね。一つ破られたら、連鎖するのは停められない。
そうして、大量に生成されたランダムな password は、
* どっかに覚えておくしかない
Keychain でも良いんだけど。そこの元の password は結局一つ? なんだかね〜
生体認証も良いんだけど、あんまり強度を上げることが良いとは思わないです。
* サーバ上以外に重要な情報を置かない
ってのが基本な気もする。個人の情報自体は、それほど重要ではないので。
No comments:
Post a Comment