デジタルアイデンティティのパスワード再設定
- デジタルアイデンティティを有効化した後にパスワードを忘れた場合、このページからパスワードを再設定できます。
- 以下のフォームに個人情報を入力する必要があり、ユーザー名を把握している必要があります。
- ユーザー名はメールアドレスに似た形式で、たとえば
jn1234@student.uni-lj.si のようなものです。
- ユーザー名とパスワードの両方を忘れた場合は、大学のヘルプデスクに連絡する必要があります。
個人情報の入力
- データベースでデジタルアイデンティティを検索するために、個人情報が必要です。
- 名、姓、生年月日、学生ID、所属学部を必須で入力する必要があります。
- 学部の選択肢には、美術・デザインアカデミー、音楽アカデミー、演劇・ラジオ・映画・テレビアカデミーなど、さまざまなオプションがあります。
ユーザー名と新しいパスワードの設定
- ユーザー名はメールアドレスのような形式で、たとえば John Smith のユーザー名は
js1234@student.uni-lj.si です。
- 強力で覚えられるパスワードを選ぶ必要があり、推測しやすいパスワードは避けるべきです。
- パスワードは10文字以上である必要があり、名前を含まず、次のうち3つの条件を満たさなければなりません: 英大文字、英小文字、数字、特殊文字(
-_.+@)。
- パスワードには
script, select, insert, update, delete, drop, --, ', /*, */ のような文字の組み合わせを含めてはいけません。
- 入力ミスを防ぐため、パスワードは2回入力する必要があります。
GN⁺の見解
- このページは、デジタルアイデンティティのパスワードを忘れたユーザーが簡単にパスワードを再設定できるよう支援します。
- 強力なパスワード設定ルールは、ユーザーのデジタル情報を保護するうえで重要な役割を果たします。
- ユーザー名とパスワードを忘れた際に大学のヘルプデスクへ連絡する手順は、ユーザーが追加の支援を受けられる手段を提供します。
1件のコメント
Hacker Newsのコメント
管理者の要請で特定の文字列を入れたという、ある開発者の話。そのサイトはパスワードを保存しておらず、外部アカウント管理のためのインターフェースを提供している。レガシーアプリでは、特定の文字列を含むパスワードでログインできない奇妙なバリデーションがあるかもしれないという噂はあるが、具体例は知らない。
子どもの頃に大手ソーシャルプラットフォームをハックした体験談。禁止語を単純に削除する方式を利用して有効なHTMLタグを注入し、ページを訪れた人たちを操作した。
場合によっては、このような要件は良いアイデアだと思うという意見。ひどいコードやシステムアーキテクチャを書く人は多く、それを見つけて変更を強制できるだけの十分な能力、組織的権限、時間を持つ人は不足している。米国では、ひどく書かれたWebサイトを通じてビジネスをしなければならないこともある。この場合、実装は往々にしてそうであるように恐ろしくなりうると仮定し、それに応じた緩和策を推奨するほうがよいかもしれない。
SQLインジェクションを完全に防ぐための適切なストアドプロシージャや技術を使う代わりに、いくつかのキーワードを制限し、ハッカーが想定外の何かを思いつかないことを願うというアプローチへの批判。もはや2005年ではなく、ユーザー入力がSQLと混ざらないようにすることはロケットサイエンスではない。パスワードを暗号化せずに保存するのは、2005年でも愚かなことだった。
代わりに
truncateを使うというコメント。古いシステムに由来するようだという意見。大学や銀行の中には中央認証のために古いメインフレームシステムを使っており、パスワードを平文で保存し、8文字・大文字のみという制限がある場合もある。システムをアップグレードしない主な理由は、コストと複雑さだ。
禁止された文字列をすべて確認しているわけではない、という学生の体験談。
仕事でこのような要件を作らなければならなかったという話。すべての文字列を適切にエスケープし、SQLインジェクション攻撃を避けるためにパラメータ化クエリを使うべきだが、多層防御のためにSQLやHTMLのように見えるコードをすべてのフィールドで拒否すべきだという。
自分のパスワードは絶対に引っかからないだろうという自信満々のコメント。
このような要件は、過剰に熱心なWAF(Webアプリケーションファイアウォール)に由来している可能性があるという楽観的な推測。