「暗証番号の使い回しやめろは(パスワードと違い)非現実的な話。暗証番号はローカル認証に限り使うべきもので、使い回してよい形であるべきもの。Webで使う銀行が悪い。」というのには同意しか無い。暗証番号は本質的にはSender Constrained Token (利用場所派ATM、キャッシュカードも必要と、いわゆるHoKになっている)であることがセキュリティの前提なのに、それを外して Bearer Tokenとして使ったらそりゃアカンという話なんですよね。
以下、Twitter上の関連スレッド。
この記事は nat.consulting の訪問者向けに www.sakimura.org から表示しています。 正本は www.sakimura.org の元記事です。
「暗証番号の使い回しやめろは(パスワードと違い)非現実的な話。暗証番号はローカル認証に限り使うべきもので、使い回してよい形であるべきもの。Webで使う銀行が悪い。」というのには同意しか無い。暗証番号は本質的にはSender Constrained Token (利用場所派ATM、キャッシュカードも必要と、いわゆるHoKになっている)であることがセキュリティの前提なのに、それを外して Bearer Tokenとして使ったらそりゃアカンという話なんですよね。
以下、Twitter上の関連スレッド。