December 03, 2007
パスワードメッセンジャー: Password受け渡しのためのWebサービス
「にくりっく認証」のWebページから、こういうサービスの存在を知った.
「パスワードを受け渡しを可能にするWebサービス」とのこと.
以下は、個人的な意見
- にくりっく認証の応用サービスなので、その認証の安全性にシステムの安全性が依存.
- 理論的には、公開鍵による共通鍵の受け渡しができるなら、こういうサービスを利用する必要はない.つまり第三者の仲介は必要ないであろう.
- 個人的にはパスワードの授受に第三者を仲介することは絶対にしたくない.つまり送信者と受領者の二者間の秘密にしておきたいと思う.
- こういう仕組みを、秘密を共有したい二者間だけが利用できるように運営するならばそれはありかなとも思う.ただし認証方法はユーザの望む方法が使えるようになればという条件であればだが...
- 第三者に預けるのは、暗号化ファイルとパスワードのどちらがよいのか? という議論もある.パスワードをplain textとして預けても、それ自体はただの文字列なので、暗号化ファイルがない限りなんの意味もない.が、ユーザとしてパスワードをplain textとして第三者に預けるのはどうも心理的に嫌悪感がある.少なくとも、「これなら安心して預けられる」とは思えない.一方、暗号化ファイルを預けてしまうと、そのファイルに対してbrute-force攻撃や推測攻撃をしかけられる恐れがある.どちらも一長一短な感じがするのは当方だけか?
個人的には、こういったサービスがどのくらい普及するかに興味がある.どうなんだろうか?
Posted by z at December 3, 2007 01:27 AM