どのようにパスワードを削除するには?それはできません

すべてのアカウントでパスワードのベストプラクティスに従っていますか?あなたが「はい」と答えた場合、あなたは間違っているか間違っているか、パスワードマネージャを使用しています。人間がベストプラクティスに従うことは不可能です。パスワードの重要な習慣のいくつかは、

彼らは長い(多分10文字以上);彼らは複雑でなければならない、つまり、辞書のない単語、埋め込まれたもの、そして文字、数字の混在、許可されているならば句読点、異なるサイトのパスワードを再利用しない;パスワードを定期的に

そこに、私はいくつかを見逃していると確信していますが、それは十分に難しいです。 5つの長くて複雑なパスワードがあります。あなたはそれらを覚えていますか? 4gaETMUpqO74R4665qAtWnYN 3gMZq99YYOck CeRvsII90CZ7 DIQj5gGpx25r

上記のリストを生成するために使用したパスワードマネージャを使用します。誰もパスワードのいくつかを覚えることはできないので、パスワード管理者はパスワードをユーザーから隠すことになります。しかし、彼らはまだそこにいる。パスワードを再使用しても被害の範囲が制限されるわけではありませんが、サービス終了時には依然として侵害され、虐待される可能性があります。さらに、パスワードマネージャはハックです。彼らはウェブページを掻き集めて、適切なフィールドにユーザ名とパスワードを埋め込むよう試みます。それは必ずしも機能しませんし、回避策は不器用です。

どうすれば実際にパスワードを削除できますか?エンタープライズシングルサインオンとも呼ばれるIAM(アイデンティティ&アクセス管理)製品は、異なる状況で同じことを行います。 IAMに自分自身を認証すると、信頼関係が確立された企業内外のサービスが認証されます。これらの関係は、通常、XMLベースの標準SAML(Security Assertion Markup Language)とWS-Federationを使用して定義されます。 SAMLでは、当事者はアイデンティティプロバイダとサービスプロバイダです。たとえば、企業のIAM(アイデンティティプロバイダ)がSAMLを使用して、Google AppsまたはOffice 365(サービスプロバイダ)を認証することができます。

しかし、SAMLとWS-Federationは、管理されていないエンドユーザシステムにとって実用的な選択肢ではありません。 Facebook、Google、Microsoft、Twitter、LinkedInなどの大手企業のサードパーティ認証が最も近いです。これらの認証システムは、一般に、OAuthと呼ばれるプロトコルに基づいている。たとえば、求人サイトではLinkedInで認証し、LinkedInアカウントからジョブ履歴やその他のプロファイル情報を取得することができます。

これらのケースでは、OAuthは委任プロトコルに過ぎず、Web APIを使用してサービスプロバイダによる認可の決定を伝えます。 OAuth自体は認証プロトコルではありません。上記の例では、LinkedInはOAuthを使用して認証を行い、ユーザーが別のサイトから対話できるようにしています。区別があなたに混乱している場合、あなたは一人ではありません。 OAuthに関する多くのことが混乱しており、実装が簡単ではありませんし、安全でない実装も珍しくありません。

OAuthのもう1つの問題は、エンドユーザーが混乱する可能性があることです。 Android上の権限リストと同様、OAuthはFacebookの壁に投稿できるように、使用しているサイトがオーセンティケータからアクセスできるもののリストを表示します。私はこれらのうちの1つを提示されたとき、私は長くて難しいと思っています。 OAuthのUIは、オーセンティケータのためのあなたのクレデンシャルをフィッシングするための自然なターゲットです;本当にGoogleがあなたのクレデンシャルを要求していますか?

しかし、OAuthに問題がなくても、完全な解決策ではありません。ほとんどのサイトでは、その信頼を第三者に委任することは望ましくなく、その多くは特に認証プロバイダ(Microsoft、Googleなど)の一部を信頼しません。

最後に、バイオメトリクスがあります。理論的には、指紋や顔や虹彩などのものを使用して第三者にログインできるようにする必要があります。そのうちのいくつかはAppleのTouch IDとWindows Helloで現実的になっていますが、他のプラットフォームでも利用可能であり、ユーザーがパスワードを除外してバイオメトリクスを使用するには非常に長い時間がかかります。

個人的には、実用的な解決策はありません。実際のソリューションは(企業のIAMが一般的であるため)使いやすく、安全でなければなりません。 OAuthはどちらの点でもある程度失敗します。誰もが尊重し、認証だけを提供する認証サービスが登場すれば、それは素晴らしいことです。私はそれが誰だろうと想像することはできません。以前は、OpenIDを使ってあらゆるOpenIDサービスがオーセンティケータになることが試みられてきましたが、それはさまざまな理由で捕まえられませんでした。

だから、私はあなたのためにハッピーエンドを持っていません。目が見える限り、パスワードの拡散、パスワードの混乱、パスワードの違反が今後発生することがあります。今のところ最良の解決策は、パスワードマネージャです。ハックかもしれませんが。

データの破損を検証しない(そしてなぜあなたが本当にあなたが “pwned”になってほしいのか)

セキュリティの基礎を再考する:FUDを超えて移動する方法

M2M市場はブラジルに戻ってくる

セキュリティ、再考セキュリティの基礎:どのようにFUDを超えて移動するために、イノベーション、?M2Mの市場はブラジルに戻ってバカンス、セキュリティ、セキュリティ、データの違反を確認する方法(そして、なぜあなたが本当に “pwned” FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した