KawaneRio
commented
1 year ago やめて(切實)
【追記】 物理鍵を無くした時の被害投稿例として「物理Keyを失くしちゃったんでMisskeyに入れなくなっちゃいました。失鍵だけにw」なんて言はれたら風評被害どころじゃない。
Open tamaina opened 1 year ago
KawaneRio
commented
1 year ago やめて(切實)
【追記】 物理鍵を無くした時の被害投稿例として「物理Keyを失くしちゃったんでMisskeyに入れなくなっちゃいました。失鍵だけにw」なんて言はれたら風評被害どころじゃない。
marihachi
commented
1 year ago パスワードで良くない?
rinsuki
commented
1 year ago まあ廃止せずとも最短40文字で英数大小必須くらいにしたらパスワードマネージャ使ってないなら他の手段使えという圧になるかもしれない (本当に?)
tamaina
commented
1 year ago パスワードマネージャが使えないユーザー多そう(Issueの趣旨と相反する発言)
KawaneRio
commented
1 year ago Pros パスワードによる乗っ取り被害はなくなる
Cons 物理キーや端末をなくしたり、キーチェーンやEメールにアクセスできなくなったりした時に詰んでしまう
良しの重みと惡しの重みが釣りあはぬ感はある・・・
marihachi
commented
1 year ago パスワードの文字数が足りていても弱ければ意味ないし、 弱いかの判定を厳しくすると良さそう。 辞書攻撃可能か、総当り攻撃可能か、など (なかなか難しいかも...)
CyberRex0
commented
1 year ago Misskeyはzxcvbn.jsって使ってたっけ https://github.com/dropbox/zxcvbn
marihachi
commented
1 year ago 強いパスワードと判定されてるのに、乗っ取りが起こってるのかな
syuilo
commented
1 year ago パスワードの強度が弱いと判定しても登録を拒否するようにはしていない
CyberRex0
commented
1 year ago 1212…って39文字ぐらい連ねてたら強いパスワードと見なされたからあんまり信頼できないかも
syuilo
commented
1 year ago Off topic: 1212を39文字くらい連ねた文字列はパスワードとしては強いと思う
KawaneRio
commented
1 year ago marihachi
commented
1 year ago パスワードの乗っ取りが起こると困る人:
困る人が多いので、おそらく弱いパスワードは登録できなくするのが無難。
L1n4r1A
commented
1 year ago 少なくともID=passwordは弾くようにしてほしい(実際にあって困惑した例)
acid-chicken
commented
1 year ago パスワードが脆弱なものでも使える問題は #4284 でどうぞ
Passkey, セキュリティキー(WebAuthn, 端末の指紋認証なども含まれてしまう), Eメールでのワンタイムパスワード(未実装)でのログインを主体とする
Pros
パスワードによる乗っ取り被害はなくなる
Cons
物理キーや端末をなくしたり、キーチェーンやEメールにアクセスできなくなったりした時に詰んでしまう