パスワード保存は素晴らしい
パスワードのブラウザ保存は素晴らしい。パスワードを「頭に記憶」するなど時代遅れの産物だ。
パスワードはブラウザに保存し、ブラウザやPCにマスターパスワード(もしくは指紋認証)を付けるのがいまどきだとおもう。いまどきキーチェーン機能がないOSなんてあるんですかね。
パスワードを学習させてくれないフォームを学習する
form を横取りしたり、Actionしないフォームを作られると面倒なので学習させる
var p = document.querySelector('input[type=password]') var f = p.form f2 = f.cloneNode(true) f.parentElement.replaceChild(f2, f ) f2.action= location.origin f2.onsubmit = function(e){ e.preventDefault();e.stopPropagation(); } f2.submit()
方針としては、とりあえずEventHandlerを全消しして、Actionをフォームと違うURLに送る。そこへSubmit()する。
これで、フォームの入力を学習することが出来る。
もし、form 要素がないときは insert してform 要素を強引に作成すればいい。(icloudなど)
りそな銀行マジ困る。
今回はりそな銀行だった。
ログインの学習くらい平気
ログインした後に、資金移動で第二パスワードを求められるので、そっちを守れば良いわけでログインパスワードを死守しようとする姿勢がまるで理解できなかった。
愚痴など
パスワードは完全な乱数にして、20文字くらい使っていて、なおかつログインIDを「非公開」で憶測不可能なものにするべきだよね。それくらいをやってからセキュリティチェックだの、不審なメールに注意しろとか。そういう出来る限りの対策を行った上で、注意喚起を行ってほしいなどと思う。
ウイルスに注意しろとかいうくせに、DOMDocumentのイベントを横取りしてコピペできなくなってたり右クリックを妨害したり、ミレニアム世代のインターネットのブラクラまがいのウイルス的な行為をやってなぜセキュリティといえるのだろうか。
究極的には、Slackのようにメールクリックしたらログインできるくらいでいい。
イ◯ン銀行とか三菱京U◯J銀行とかCloudFlareとか、ログインした後にメールの番号を要求するからな。。。面倒だしとっととバイバイしたわ。
トークンつかっても防ぎようがないものは防ぎようがない。警察庁と金融庁あたりがトークンを義務化するようにガイドラインをだしてるけど、問題はそこじゃないだろって感じはある。