アカウントがスパムの踏み台となるのをソフトウェアレベルで対策したい #9332
Comments
|
やめて(切實) 【追記】 |
|
パスワードで良くない? |
|
まあ廃止せずとも最短40文字で英数大小必須くらいにしたらパスワードマネージャ使ってないなら他の手段使えという圧になるかもしれない (本当に?) |
|
パスワードマネージャが使えないユーザー多そう(Issueの趣旨と相反する発言) |
良しの重みと惡しの重みが釣りあはぬ感はある・・・ チクチク言葉(そも〱乘つ取られるやうな合ひ言葉を使ふ輩が惡い) |
|
パスワードの文字数が足りていても弱ければ意味ないし、 |
|
Misskeyはzxcvbn.jsって使ってたっけ |
|
強いパスワードと判定されてるのに、乗っ取りが起こってるのかな |
|
パスワードの強度が弱いと判定しても登録を拒否するようにはしていない |
|
1212…って39文字ぐらい連ねてたら強いパスワードと見なされたからあんまり信頼できないかも |
|
Off topic: |
愚癡
個人的にあの「強度が足りません」のやつ、火狐で亂數生成された合ひ言葉も「記號が入ってないから弱い」ってたまに判定されるので嫌ひ(ただの愚癡) |
|
パスワードの乗っ取りが起こると困る人:
困る人が多いので、おそらく弱いパスワードは登録できなくするのが無難。 |
|
少なくともID=passwordは弾くようにしてほしい(実際にあって困惑した例) |
|
パスワードが脆弱なものでも使える問題は #4284 でどうぞ |
|
フィッシングでパスワードが漏れるケースも多いので、パスワードが強いか弱いかは関係なく乗っ取りは起きる |
|
Since Misskey uses bcrypt to store passwords, I think adding password strength rules should be sufficient. |
|
パスワードレスログインで対応できるので閉じて良さそう |
|
パスワードレスログインの設定が強制されているわけではないからなぁ |
|
でも全ての人がパスワードレスログインできるわけではないことを考えるとそれが落とし所かもしれない |
|
乗っ取られると乗っ取られた本人だけでなく、スパムの踏み台として利用されるので第三者にも被害が発生するから、セキュリティ対策をユーザー任せにするのではなく、ソフトウェアレベルで対策(e.g. パスワード以外の認証を主体とするといった、このIssueのsummaryにあるような考え方)をする必要がある |
|
とりあえずこれで緩和されそう |
|
あとログイン時にメールで通知する機能欲しい |
KisaragiEffective
changed the title
じゃあ多分このようなタイトルであるべき |
|
It would be nice if the instance administrator could enforce a Passkey or 2FA. |
|
実際にコンディショナルロールで2fa未設定の人は機能的に制限がかかる運用をしているサーバーはあったりするわね |
Passkey, セキュリティキー(WebAuthn, 端末の指紋認証なども含まれてしまう), Eメールでのワンタイムパスワード(未実装)でのログインを主体とする
Pros
パスワードによる乗っ取り被害はなくなる
Cons
物理キーや端末をなくしたり、キーチェーンやEメールにアクセスできなくなったりした時に詰んでしまう
The text was updated successfully, but these errors were encountered: