英大手ECサイトの66%が単純なパスワードの使用を許可している 63
ストーリー by headless
単純 部門より
単純 部門より
Dashlaneが英国の大手ECサイト100件を対象に行ったパスワードポリシーの調査によると、70%のサイトで「password」というパスワードが許可され、「123456」も60%のサイトで許可されていたそうだ(Dashlaneのブログ記事、
調査結果: PDF、
The Registerの記事、
本家/.)。
単純なパスワードの使用を認めるサイトは66%、アルファベットと数字の組み合わせを要求しないサイトは69%にのぼる。Amazon UKやTescoを含む66%のサイトでは間違ったパスワードを10回入力してもブロックなどの処理が行われず、Body ShopやClarksを含む25%のサイトではパスワードリセット/変更時の電子メールでパスワードをそのまま記載していたとのこと。また、サインアップ時に強度の高いパスワードを作成するためのヒントを表示するサイトは40%、パスワードの強度メーターを表示するサイトは14%しかなかったそうだ。パスワードポリシーについて各項目の安全性から算出したスコア(-100~+100)では、Appleが+100を獲得して1位。最下位はUrban Outfittersの-60だったとのことだ。
ちなみに、Dashlaneでは米仏のECサイトについても同様の調査を今年行っている。フランスのECサイトでは87%が単純なパスワードの使用を認め、パスワードを10回誤入力してもブロックしないサイトが84%など、全項目で米英よりも低く、米国は「4回のパスワード誤入力でログインをブロック」と「現在のパスワードを新しいパスワードとして設定することを拒否」の2項目を除いて英国よりも安全性が高いといった結果になったそうだ。
単純なパスワードの使用を認めるサイトは66%、アルファベットと数字の組み合わせを要求しないサイトは69%にのぼる。Amazon UKやTescoを含む66%のサイトでは間違ったパスワードを10回入力してもブロックなどの処理が行われず、Body ShopやClarksを含む25%のサイトではパスワードリセット/変更時の電子メールでパスワードをそのまま記載していたとのこと。また、サインアップ時に強度の高いパスワードを作成するためのヒントを表示するサイトは40%、パスワードの強度メーターを表示するサイトは14%しかなかったそうだ。パスワードポリシーについて各項目の安全性から算出したスコア(-100~+100)では、Appleが+100を獲得して1位。最下位はUrban Outfittersの-60だったとのことだ。
ちなみに、Dashlaneでは米仏のECサイトについても同様の調査を今年行っている。フランスのECサイトでは87%が単純なパスワードの使用を認め、パスワードを10回誤入力してもブロックしないサイトが84%など、全項目で米英よりも低く、米国は「4回のパスワード誤入力でログインをブロック」と「現在のパスワードを新しいパスワードとして設定することを拒否」の2項目を除いて英国よりも安全性が高いといった結果になったそうだ。
無駄な複雑性の要求もセキュリティーリスクとなりうる (スコア:1)
ちょいと値段や在庫調べるために登録する位なら、偽情報、捨てパスワードで充分なのよ。
充分複雑かつ覚えておけるパスワードなんて限られているし、うっかり他で使っているパスワードを入力してしまう事も多々ある。
たまに使うサイトで、自分の設定するパスワードはこれとこれとこれのどれかだけど、どれだったっけな、と一通り試してしまうことは、誰にでも身に覚えがあるのでは?
であれば、さほど重要でないサービスには捨てパスワードを使っておいた方が安全。
Re:無駄な複雑性の要求もセキュリティーリスクとなりうる (スコア:3, 参考になる)
おもいっきし的外れな指摘だな。
>さほど重要でないサービスには捨てパスワードを使っておいた方が安全。
クレジットカード番号を入力するなどの理由により、
ECサイトは「さほど重要でないサービス」ではない。
>ちょいと値段や在庫調べるために登録する位なら、
としたら、そんなひやかし目的の奴らは客じゃない。
そんな奴らのためのサービスなど考慮する必要はありません。
#というか、値段や在庫調べるくらいでユーザー登録必要か?
#中にはそういうサイトもあるかもしれんけどさ。
Re: (スコア:0)
まあ、中小のECなら、在庫問い合わせに登録が必要なものはありますよ。
また、Kindleなどで無料お試し版をダウンロードするにはユーザ登録が必要ですし、Google Playでは無料動画の視聴にカード登録が必要です。
TSUTAYAやユニクロなどは、リアル店舗でのクーポン取得には登録が必要です。
スマホが普及してから、囲い込みのためか、買い物をしないでもユーザー登録が必要なものって増えた印象があります。
Re:無駄な複雑性の要求もセキュリティーリスクとなりうる (スコア:1)
無料のサンプル動画やクーポン配布はユーザサービスのひとつでしょうからユーザ登録くらいしてもいいんじゃないすか。
Re: (スコア:0)
クレジットカードは保険効くし大した事ないなぁと思ったけど、
某楽天で不正利用されたときに、
カード再発行→変更後の番号をあちこち再登録×たくさん
ってのはそれなりに疲れました。
Re: (スコア:0)
中小の例えば同人グッズ制作のサイトなんかではよく見かける。
会員登録しなきゃ値段も在庫も場合によっちゃ見積りすらわからんので、発注前の下調べで捨てアドと捨てパスで登録したなぁ。
利用する時はちゃんとしたアカウントをとり直す感じで使ってたよ。
他には美容院とかもまずは登録してから…って感じだったかな。
料金メニューを公開すると価格競争に巻き込まれるから警戒してんのかね。
Re: (スコア:0)
Re: (スコア:0)
代引きで購入
Re: (スコア:0)
Re: (スコア:0)
あの悪夢がふたたび繰り返されるのか...
「メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI」 http://security.srad.jp/story/10/04/06/0655212/ [srad.jp]
Re: (スコア:0)
B to Bなサイトは大半が登録必須
Re: (スコア:0)
ポイントだけ貰っておくとき
Re: (スコア:0)
パスワードの管理責任がユーザー側にある事を規約に明示すれば、運営側で縛るようなことでもない気がしますね。
まあ、警告があった方がサイトとしての品質は高い印象は受けますが。
Re: (スコア:0)
「さほど重要でないサービス」とやらに「充分複雑かつ覚えておけるパスワード」なんてものを使おうってのが間違いでしょ。
つか、「充分複雑かつ覚えておけるパスワード」なのに使ってるサービスを忘れるとか意味じゃいじゃん。覚えてない。
大事なら紙にメモって財布にでも入れとけ
大事でないならパスワード管理ツールでおk
Re: (スコア:0)
パスワード管理ツールよりも紙にメモって財布に入れる方が安全というのは斬新な主張ですね。
Re: (スコア:0)
パスワード管理ツールはパスワードだけじゃなくてサイト、IDも含んだ完全な情報を持つって点で懸念がある。
また、狙われる目的がパスワード狙いだし、バグとかウイルスとか、あと消失の可能性とかもあるし。
財布は落とすとかすられるとか、そういう点では同じ、もしくはより危険とは言えるが、パスワード狙いではないから見向きされる可能性は低い。
あと、完全な情報を持たせているわけではないので直ちに役立つものではない。その点は工夫していただきたい。
あと、実は他にも方法があるのと、相互に補完しあっている部分もある。
大事ではないパスワードの話だったから詳しくは書かなかったし、そもそも書く気はあまりないが、大事なパスワードって流出・悪用を懸念するってのもあるが、紛失の方の懸念も大きくないか?
なにか一つの方法(記憶、パスワード管理ツール、メモ)だけに頼るのは不安じゃないのだろうか。
まあ、元のコメントが不正確で斬新というのは認める。
Re: (スコア:0)
サイトとIDは丸暗記しろとか無理。
パスワードロック…されるのはいいけど… (スコア:1)
何回か入力するとパスワードをロックされるサイトがあるんだが
ここも普通にパスワードを入力間違いしている間は「パスワードとIDが不明」と言う形で表示される。
ここで、IDが間違っていると何度やってもアクセスがロックされない。
一方で、アカウントが合っているがパスワードが間違っている状態で何回か繰り返していると「アカウントがロックされました。ロックを解除するにはこちら」と言うリンクが表示される仕様のサイトがある。
これでまずIDが正しいと言う事は分かってしまう。
次にアカウントロックを解除するんだが、方式は登録メールアドレスに解除用リンクが送られてきて、それで認証すると言うタイプ。
しかし、ID入力画面には「IDわからない場合はこちら」と言うあって、ID=メールアドレスなのだが、そこを踏むと秘密の質問と、いくつか個人情報(郵便番号、氏名、生年月日)を入力するとメールアドレスを再設定できてしまう。この時、メールアドレス変更通知は新しいアドレスだけにしか送られない。パスワードリセットの仕組みもオーソドックスな、メールでリセット用のアドレスが送られてクリックするタイプ。
これを組み合わせると、ほぼ公開情報だけでアカウントを乗っ取れるんだよなこれ。
適当な個人情報リストを使ってbotでアクセスし、有効なIDを見つける。
後は個別にパスワードリセットして回ればアカウントが乗っ取れてしまう。
パスワードは数字を組み合わせてねとかかかれているし、古いパスワードやクレジットカードの番号は見ることができないようになっているが、住所の変更などは普通にできてしまうし、これじゃ無駄だ。
なにかのECパッケージを使っているのか、少なくともこの攻撃方法が通用するサイト2つ知ってる。
探せばもっとあるのでは。
せめてパスワードがロックされた時、画面に「アカウントはロックされました」とか出さずにこっそり登録メルアドに「あんたのアカウントで何度もアクセス試みてるのがいるけど本人?」って送るとか、IDがあっているかどうかに関わらず、一定回数入力されたらロックされる仕様にするとか、なんとかならんのかな。
一つ一つの手法は正しくて推奨されるものでも、組み合わせたら全然だめってサイト結構ある様な気がする。
なんかきちんとしたガイドラインがないのだろうか。
Re: (スコア:0)
よく読んでもたいした危険性が感じられないのだが
Re: (スコア:0)
ここで
・秘密の質問は何パターンしか無い
・クラックを仕掛ける側の人間は、身近な人(例えば、嫌な同僚を罠にはめたいといったケース)
・パスワードは教えてくれる訳も無いが、干支や誕生日などは簡単に手に入る
パスワードなどと違って多くの人はこの辺りの情報をセキュリティに関わる情報だと認識していない
と想像力を働かせてみましょう
大規模なセキュリティホールによるものは被害規模が大きいから注目を集めるが
実害のあるクラッキング被害は身近な人が仕掛けるケースが一番多い
こういうサイトに出会ったら使わないという選択しか防護する手段が無い
おそらくECサイトパッケージで、いくつかオプションで有効に出来るセキュリティ機能やIDリセット機能があり
通常はそれぞれいくつかしか選ばないところを、全部有効にしてしまったために発生した問題
Re: (スコア:0)
あー後付ね。でも印象はまったく変わらず。
あいかわらず文章の割に内容が薄いね
Re: (スコア:0)
ひとことでいえば「秘密の質問が危険」ってことですよね。
Re:パスワードロック…されるのはいいけど… (スコア:1)
ひとことでいえば「英大手ECサイトが危険」かも。
Re: (スコア:0)
http://security.srad.jp/story/14/03/03/0340240/%E3%80%8C%E7%A7%98%E5%A... [security.srad.jp]
関連ストーリーに入ってないな。
郵便番号を特定出来るだけの住所を公開
Re: (スコア:0)
> 郵便番号を特定出来るだけの住所を公開しているかは微妙だが
???????????????????????
Re: (スコア:0)
鬱陶しい奴だな
Re: (スコア:0)
死ねよキチガイ
Re: (スコア:0)
世の中には名簿業者ってのがあってだな…
Re: (スコア:0)
-1ついてるけど
これ実現できないよな
Re: (スコア:0)
まあ頑張って好意的に解釈すると、同じIPからの間違いが連続したらブロックするくらいか。
副作用あるし、そもそもロックとは言わんが。
Re:パスワードロック…されるのはいいけど… (スコア:1)
リバースブルートフォース(「ブルートフォース」自体に「パスワードを」総当りするという含意はないので、変な用語だと思うけど)対抗策として、
「同一の送信元IPアドレスから、パスワードを固定したリクエストが一定時間内に一定回数以上送られた場合には、
意図的に応答を遅くして連続攻撃を難しくする。
というのはありますね。
Re:パスワードロック…されるのはいいけど… (スコア:1)
元コメの主張は、「実在しないIDで複数回エラーの場合」も、「実在するIDで複数改の場合」と同様にロック処理をすべきだ、という話でしょう。
そうしてないので、「ロックされるかどうか」で「実在するIDかどうか」の判定ができてしまう、と。
住所等とメールアドレスが既知のターゲットに対する標的型アタックで、メールアドレスをIDとしたログインチャレンジすることで、「そのユーザーが該当サービスに登録しているかどうか」がわかってしまう、というのは一種のリスクだと思います。
セキュリティに関するガイドラインで、「ユーザーIDが存在しない場合も、パスワードが間違えた場合と同じ反応にすること」(そうしないと、応答の違いでIDの存在有無がばれてしまう)というのがあったかと思いますヶ、それが守りきれてないってことですね。
でも、ロックでそういう反応の違いがあるというサイトはあまり見たことないというかあまり試したことありませんが、
「パスワードを忘れた場合」の対応では、「該当するIDは存在しません」といった親切なメッセージを出してくれやがるサイトも結構見かけるような気がします。
#ていうか、そういう操作でメールアドレスを間違えたときにも何ごともなかったかのように「送信しました」というメッセージが出るサイトもありますが、セキュリティ的にそっちが望ましいと頭では理解できるものの、「登録した覚えはあるけどどのメールアドレスで登録したのか覚えてない」時なんかはちょっと途方に暮れたりしますね。
Re: (スコア:0)
セキュリティといえば、大規模なボットネットからの分散攻撃という
ECサイト側からの視点にまずなるのがスラドの特殊な所なのかな
まずは自衛手段として考えるだろうに
被害の多くをしめるカジュアルなクラックからは同一IPからのブロックで十分
Re: (スコア:0)
十分なわけないだろうに
最近かじった程度の知識で恥かかなくてもよいだろよ
使用可能文字制限をどうにかしてほしい (スコア:1)
スマホが普及し始めてからパスワードに使用できる文字が
英数字であるサイトが増えた気がする。
2-3年ほど前リニューアルした某オンライン書店では
リニューアル前は英数記号が使用できたのに、リニューアル後は英数字に
なってしまった。英数字だけ使いたい奴は勝手にすればいいけど、
運営側が使用できる文字をむやみに制限するのはどうかと思う。
Re:使用可能文字制限をどうにかしてほしい (スコア:1)
スマホ関係無く、PC専用でも記号を混ぜると工数が多少増えるんだよ。
十分な長ささえあれば記号を混ぜても安全性は十分確保できるんだから、
まともな開発者は記号を入れない方を選択すると思う。
#むしろ安易なパスワードを設定するユーザーの方がよほど問題.
Re: (スコア:0)
>スマホ関係無く、PC専用でも記号を混ぜると工数が多少増えるんだよ。
えっ!?
Re:使用可能文字制限をどうにかしてほしい (スコア:1)
JP106ばかり使ってると、USとかのキーボードしか使えないときに記号を入れるのに時間が掛かって困ることはありますね。
#出先のサーバールームとかで時々悶絶しかける
Re: (スコア:0)
試験の工数のことじゃないですか?1文字目に@を入れるとバグるとか。
Re: (スコア:0)
パスワードはシステム的に、 利用できる文字に制限かけない方がブルートフォースの件数が増えるので制限しないほうがいい。
でもってパスワードなんて、 利用している文字の複雑さ(種類)よりも長さの方が重要でしょう。
変な短縮化ルールでパスワードを短くするとか、変換かけるのは一昔前の都市伝説じゃないかと思う。
パスワードの設定はあくまで自己責任にして、 変なルールを強要してほしくないものです。
めんどくさすぎる。
入力可能な文字は最低でも20文字くらい許容してほしい。
どうせ、 ハッシュしか保存しないのに、なんて8文字しか入力できないサイトが未だに増えるのか
不思議でならない。
文字なんて、 2-3日あれば、 ハッシュ値の辞書出来ちゃうよ。
まぁ独自の暗号化をして、 可逆なものになっているのなら作った辞書は意味なくなるけれど。。。
Re:使用可能文字制限をどうにかしてほしい (スコア:1)
ブラウザと、サーバ側アプリケーション(か、フレームワーク)の実装の組み合わせによって、
記号はURLエンコードされてたりされてなかったりがあってうまく合わないケースがでてきちゃう。
それで余分な問い合わせが発生しないよう、禁止しているケースがあるのでしょう。
Re: (スコア:0)
> スマホが普及し始めてからパスワードに使用できる文字が英数字であるサイトが増えた気がする。
気のせいな気がする。
まあ (スコア:1)
パスワードの時代はいつ終わるのかというのも気になるわけで。
Re: (スコア:0)
生体認証とかユーザーIDの代替となる技術は複数あるけれど、 パスワードの代替となる技術はほとんど存在しませんからね。
この先もしばらくは続くんじゃないかなと。
本人ですら忘れたら認証出来ない/拒否されるのがパスワードの特性であり、セキュリティを維持するためのの特色です。
Appleが+100を獲得…か (スコア:0)
iTunesでどんだけやられているんだっけ?
他サイトとの使い回しとか、フィッシングで抜かれたものだけ??
逆にPaypalはパスワードが厳しすぎて (スコア:0)
ふだんはほぼ同じパスワードを使いまわしていて、
Googleなら****g*****、
Amazonなら****a*****、
のように、5文字めだけ、そのサービスの頭文字を当てはめて、完全な使いまわしを避けるようにしてるのだけど、昨日Paypalが以前使っていた簡単すぎるパスワードのままだったのを思い出して、現在の方式のパスワードに変更しようとしたら、パスワードが「弱」判定されて変更できなかった。
大文字、小文字、記号、数字を全部使って、他のサイトでは「強」判定されるパスワードなんだけど。
Paypalだけ独自のパスワードにしても、たまにしか使わないから絶対忘れるだろうし、かといって以前の弱いパスワードじゃ不安だし、面倒だから昨日つかった分が引き落とされたらPaypalのアカウントは削除することにした。
Re:逆にPaypalはパスワードが厳しすぎて (スコア:1)
5文字目が"g","a"なら無意味て"p"なら有意になる単語かフレーズ・・・
クイズ問題に良さげ。
#ぱっと思いつかない
Re: (スコア:0)
よし、5文字目だけ総当たりにするよう、ツールを修正しよう!
Re: (スコア:0)
Paypalで大文字、小文字、記号、数字を全部使って強固なパスワードに設定してからPaypal Hereのアプリをインストールしてログインしようとしたら「General Expeption Error」のポップアップが………
※サポートに報告済。
こないだのリテールテックでPaypal顔パス認証するためにチェックインしてみましたが、街中でパスワード入れる方が怖い
Re: (スコア:0)
あまり自分のパスワード生成法は公開しない方が・・・
ちなみに、自分は過去やってたのは
*****@00GGL00
という感じだった。文字列の後に@に数値+各サービスの略称+数値。で数値で重要度を変えてる。
今ではもうやめてパスワード管理ソフトに全部任せて50文字のランダム文字列だわ。