Open tamaina opened 1 year ago
やめて(切實)
【追記】 物理鍵を無くした時の被害投稿例として「物理Keyを失くしちゃったんでMisskeyに入れなくなっちゃいました。失鍵だけにw」なんて言はれたら風評被害どころじゃない。
パスワードで良くない?
まあ廃止せずとも最短40文字で英数大小必須くらいにしたらパスワードマネージャ使ってないなら他の手段使えという圧になるかもしれない (本当に?)
パスワードマネージャが使えないユーザー多そう(Issueの趣旨と相反する発言)
Pros パスワードによる乗っ取り被害はなくなる
Cons 物理キーや端末をなくしたり、キーチェーンやEメールにアクセスできなくなったりした時に詰んでしまう
良しの重みと惡しの重みが釣りあはぬ感はある・・・
パスワードの文字数が足りていても弱ければ意味ないし、 弱いかの判定を厳しくすると良さそう。 辞書攻撃可能か、総当り攻撃可能か、など (なかなか難しいかも...)
Misskeyはzxcvbn.jsって使ってたっけ https://github.com/dropbox/zxcvbn
強いパスワードと判定されてるのに、乗っ取りが起こってるのかな
パスワードの強度が弱いと判定しても登録を拒否するようにはしていない
1212…って39文字ぐらい連ねてたら強いパスワードと見なされたからあんまり信頼できないかも
Off topic: 1212を39文字くらい連ねた文字列はパスワードとしては強いと思う
パスワードの乗っ取りが起こると困る人:
困る人が多いので、おそらく弱いパスワードは登録できなくするのが無難。
少なくともID=passwordは弾くようにしてほしい(実際にあって困惑した例)
パスワードが脆弱なものでも使える問題は #4284 でどうぞ
Passkey, セキュリティキー(WebAuthn, 端末の指紋認証なども含まれてしまう), Eメールでのワンタイムパスワード(未実装)でのログインを主体とする
Pros
パスワードによる乗っ取り被害はなくなる
Cons
物理キーや端末をなくしたり、キーチェーンやEメールにアクセスできなくなったりした時に詰んでしまう