パスワードを忘れた? アカウント作成
12677469 story
セキュリティ

JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される 37

ストーリー by hylom
正しい答えを設定しないように気を付けましょう 部門より
あるAnonymous Coward 曰く、

JCBの会員専用WEBサービスMyJCBが、「秘密の合い言葉」いわゆる「秘密の質問」による本人様確認を3月に開始するという。事前の登録は2月3日から始まっている(MyJCBサイト内の説明ページ)。

秘密の合い言葉は、ログイン時に普段と異なる利用環境と判断された場合に必要。「答え」は変更可能だが、「質問」はあらかじめ設定されたものの中から選ぶ方式。「秘密の質問」の危険性は過去に何度も問題になっており、IPAは利用者が「質問」を自由に記述できるようにすることなどをサービス提供者に求めている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Y-taro (38255) on 2016年02月03日 20時36分 (#2959211)

    契約書類などにおいて、虚偽の事項を記載することは、本来なら、詐欺、偽計業務妨害、私文書偽造などの罪にもなりうる。
    それが、秘密の質問ならば、虚偽の事項を記載するのが正しい対応だとされてしまうのは、社会常識に対して倒錯した状態としか思えない。

    個々人の自主的対応というものではなく、政府が公に呼びかけるのであれば、それはもう、秘密の質問自体が危険なものであるとして、政府は使用中止を業界に呼びかけるべきだと思う。

    秘密の質問にはまじめに答えない。
    (省略)
    秘密の質問に答えを設定する場合は、あえて全く関係ない答えとすることで、せめてSNSなどから答えを推測できないようにしましょう。
    内閣サイバーセキュリティセンター『情報セキュリティハンドブック [nisc.go.jp]』2016/02/01(2016/02/02 Ver 1.01)、p.26

    • by Anonymous Coward on 2016年02月04日 5時07分 (#2959318)

      契約書とパスワード管理を同列で考えるあなたの頭の方が倒錯していると思う。

      親コメント
      • by Anonymous Coward

        そうじゃないよ。
        JCBに限らず、オンライン手続きで「秘密の質問」的なインプットが求められるものの多くが何らかの契約が絡む重要手続きで、「秘密の質問」が本人確認に使われている程度には重要なインプットとされているし、赤の他人による不正入力だったとしても「秘密の質問」で正答が入力された場合はアカウントの管理者側の管理責任になる。
        ある意味、パスワードよりも厳重な管理が求められている。
        なのにこんなザルザルな運用だから問題視されてる。

        • by Anonymous Coward

          「運用がザル」なのと「でたらめな回答を推奨するのは倒錯している」ってのとは全然違う話だけど。
          本人確認のための機能で、他人が推測しにくい鍵を設定しておくのはまともでしょ。

          • 私は「でたらめな回答を推奨するのは倒錯している」とは書いていませんよ。
            デタラメな設定をするのが間違いとも、デタラメな設定を政府が推奨するのが間違いとも書いていません。
            デタラメな設定をするのはセキュリティ的に正しい対応であると思っていますし、正しい対応である以上、政府がそれを推奨するのも正しいと思っていますよ。

            親コメント
    • パスワードを覚えておくから、秘密の質問なんて使わないから出鱈目入れてロックしてやる。

      としていたら、秘密の質問が必須項目になって、ロックアウトされ以降使えない年金システム

      --
      親コメント
    • by Anonymous Coward

      業界が明日から右へ倣えで対応可能ならそうするべきなんでしょうね。
      これが経過措置というか緩和措置であればなにもしないよりマシかと。

    • by Anonymous Coward

      「人を見たら泥棒と思え」ということだよ

  • by Anonymous Coward on 2016年02月03日 19時24分 (#2959182)

    ひみつのしつもん用のパスワードにしてる

    固定だからセキュリティ的にアレなところもあるけど、答えに迷うよりはマシ

  • by Anonymous Coward on 2016年02月03日 19時18分 (#2959178)

    数年たつと好きなものが変わってることがありわかんなくなる糞設問

    • by Anonymous Coward

      問:「飼っている犬猫の名前は?」

      • by Anonymous Coward

        それ全然秘密じゃないよね
        ちなみに私の秘密の質問の答えはロードオブザリングですがロード・オブ・ザ・リングかLord of the Ringかlord of the ringかなんて書いたかわからない

        • by Anonymous Coward

          いっそ指輪物語で統一すればどうか

        • by Anonymous Coward

          "The Lord of the Rings"は候補にない、と。

      • by Anonymous Coward

        「飼っているペットの名前は?」っていう秘密の質問に
        ペット飼ってなかったしポストペットの名前で
        回答したことあります。

        もう忘れたけど

  • by Anonymous Coward on 2016年02月03日 19時47分 (#2959191)

    不正アクセスが問題になって [security.srad.jp]から2年かけて導入するセキュリティ向上案がこれって…

  • by Anonymous Coward on 2016年02月03日 20時29分 (#2959205)

    初恋相手の名前をフルネームで

  • by Anonymous Coward on 2016年02月03日 20時59分 (#2959222)

    > ログイン時に普段と異なる利用環境と判断された場合に必要

    いわゆるパスワード忘れの対応じゃなくって、スマホ変えたりしたら
    パスワードが合っていても必ず答えないといけないってこと?

    だとすると、Apple ID のと同じで、秘密の質問を適当に設定して
    メモってないとひどい目にあうパターンの予感。

    • ※誤った答えを規定回数を超えて入力すると、MyJCBワンタイムパスワードによるご本人様確認画面が自動的に表示されます。
      ※MyJCBワンタイムパスワードはご登録のメールアドレスにお送りしますので、事前にメールアドレスの確認・変更をお願いします。

      親コメント
      • by Anonymous Coward on 2016年02月03日 23時59分 (#2959282)

        むしろこれだけでいいよね。

        秘密の質問には自分も忘れるような乱数を入れておいて毎回規定回数間違えればいいんだけど、面倒くさすぎる。

        親コメント
        • いわゆるホンコレ

          常時そのワンタイムパスワードでloginするように設定変更できればいいのに。

          普通にニ段階認証を採用したくない理由って何だろう。

          親コメント
          • >普通にニ段階認証を採用したくない理由って何だろう。
            ユーザーからの問い合わせが激増するんでしょう。

            親コメント
            • >ユーザーからの問い合わせが激増するんでしょう。

              自分が加入しているサービスでのに段階認証だとだいたいこんな感じ。

              パスワード認証開始
              ->SMSで認証コード受信
              ->認証コードを入力して完了

              機器(スマホ)の問題でSMSで受信出来ないケースが一度だけあって、苦労したことは有りますが問合せはしたことなかった。
              他になんかあったっけ。

              親コメント
              • by Anonymous Coward

                それも面倒だから、出来ればGoogle AuthenticatorとかSymantec VIP Accessとか
                使ってくれないかなあ。うちだと銀行のうち1つがこれ使ってるので、かなり便利。

                もう1つ契約している銀行は独自トークンを申し込めって毎回出てきてうざいのなんの。
                どこ行くにもトークン持って行けってそんなの出来るわきゃ無いだろうに。

        • by Anonymous Coward

          よし。
          「秘密の質問に答えるとワンタイムパスワードSMSが送られてきて、それを用いるとパスワード上書きができて、別途メールで送られてきたURLを踏んで行けるログイン画面でIDと新たなパスワードでログインする」
          という仕組みにすればバッチシだな!

    • by Anonymous Coward

      まぁ、たしかに秘密の質問なんて他でもやってるからなぁ
      わざわざ、このサービスだけネタにするニュース性はどこにあるのか?
      郵貯だった同じだしな。

    • by Anonymous Coward

      パスワードが2つあるような感じですね。セキュリティのことを考えたら、使ったことのない端末からのアクセスは面倒にしておいたほうがいい。

      でも、秘密の質問って、要求される機会が少なく、自分自身も答えを忘れていることが少なくないので、いつもメモを見ています。いろんな人格を持っていて、答えが1つに定まらないのです。

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...