20111005225729
ブルブルブルゥ
某VPSの認証のユーザIDがIPアドレスである事に驚きを隠せない。認証側でブルートフォースの対策すればいいじゃないとは言われるけれど、それはどこか詭弁と思う。勘合札の片方を何故わざわざ分かりやすくするかね・・・折角伏せられているのに。ユーザ名も知られないことに越した事ないでしょう。少なくとも有効なアクセスを減らす努力にはなると思うのだけどなぁ。
個人的には辞書アタックが少し有効になるだけではなく、色々推測して入力できる余地があるところがあまり気に入らない。その辺り自分で任意のユーザ名を決められるか、Mixiの自分のメアドを使う (いずれもサービスには表示しない) ってのは悪くないと思うのだけどねぇ・・・ナズェダ。何故そうならないのだろう。やはり、不特定の人からの辞書アタックなり推測して入力されるということ自体が大して脅威ではないという事だろうか。
っと、つらつら書いてはみましたがメールや、Webホスティングのアカウント、皆、そうではじゃないか・・・つまりは気にするだけ無駄って事ですね。 結局はユーザのある程度のパスワードに関するリテラシと、開発側の対策なのでしょう。ソレゆえの認証側が対応すれば大丈夫、か。
・・・しかし、百歩譲ってもやっぱりIPアドレスは正直キモい。ネットワークの契約変わったらどうするんだろ。ユーザの任意のID変更ではないし、変更もできないから。これは無いと思うのだけどなぁ・・・迂闊にIPv4辞めますとかアドレス範囲変えますとか言えません。
