アカウント名:
パスワード:
パスワードをメールで送付していたのは知ってた [srad.jp]けど、まさかそのPWが変更不可だったとは知らなかった。
通勤の乗換え駅にビックのリアル店舗があるから、ちょくちょく消耗品の購入で利用し、そのつどポイントは全額使用するからネットショップの運営が杜撰でもオイラにたいした実害はないからいいけど…
とはいえ安易に「危険なパスワード」に変更しちゃうユーザーの存在を考えるとどうするのが良いんだろうね。
#危険なパスワードに変更したユーザーの自己責任?それで商売になれば苦労はしない
「危険なパスワード」リストを作って、それと一致したら駄目にするとか?
ビックカメラのパスワード変更は「今のところ出来ない」だけのような気がするけど、違うのかな。
>「今のところ出来ない」そんな状態でサービス再開するな。変更できない間にメールから盗まれたパスワードで被害が発生したらまた弁償すればいいだけとでも思ってるのか?
弁償しただけじゃダメなんですか?
危険なパスワードリストを作って、それにできないようにするというのは割とある手法ですね。たとえば、同じパスワードを連続で設定できないとか、メールアドレスやIDと一緒にできないとか最低限の文字数や文字種が決まってるとか。
Linuxとかも最近のディストリだと、単純なのを設定しようとすると警告がでた気がします。
そんなに難しくない方法なので、是非対応して欲しいですね
では初めから全員危険なパスワードにリセット [togetter.com]しましょう。そうすればみんな平等です。# 「パスワードを平文で保存するなんて頭おかしい(キリッ」とか言われて、システム移行時のパスワード引き継ぎのこととか何も考えないで「対策」に走るとこうなります。# 何かをすればしないより常に無条件でマシなんてうまい話はそうそう転がっていません。
・○文字以上必須・数字を含む・記号を含む・大文字小文字の双方を含む
というパスワード以外には変更できないように設定する。
そしてユーザーから膨大な苦情と「パスワードわからなくなった」メールが……
>とはいえ安易に「危険なパスワード」に変更しちゃうユーザーの存在を考えるとどうするのが良いんだろうね。
・メールアドレスと同じ語句を含むパスワードは設定できません・パスワードは5文字以上、20字以内でお願いします。必ず数字を入れてください。
みたいなこといわれるけどこのアカウントはさして重要でもないしカネもからんでないし最悪ハックされても文句言わないしそれよりそんな数字入れたりメアドと違えたりすると絶対忘れるんだけどなあ…ってことは時々あります。
五歳児を見守るママじゃないんだからユーザーの勝手に任せてくれてもいいと思うのだ。
> 五歳児を見守るママじゃないんだからユーザーの勝手に任せてくれてもいいと思うのだ。
あ・ま・い・!
一般的にそういった類の「当方は一切責任を負いません」という規約は無効とみなされますよ。たとえば「駐車場内で事故があった場合でも当方は一切責任を負いません」と書いてある駐車場でも、駐車場の構造に問題があった場合はそんなこと書いてあろうが無かろうが訴えられたら負けます。これも同じく「警告:あなたの入力したパスワードは推測されやすいパスワードです。このまま使用しても当方は一切責任を負いません」と書いたとしても「警告を出すほどに問題点を認識していたのに、利用可能にしたのだから過失がある」とかなんとか言われるのがオチです。何かあった時には屁のつっぱりにもならんでしょう。
不正アクセスの被害者となるのはあなたじゃなくてサービス提供側です。
>パスワード変更不可なんていうサイトはいくらでもある
不勉強ですみませんがショッピングサイトでパスワード変更不可のサイトを20個ぐらい例示してもらえませんか?
国民健康保険の被保険者証の交付方法の改善について [soumu.go.jp]
予算がとれないからといって葉書を送ってきた希望者にだけ簡易書留で発送し、それ以外は普通郵便で送るアホな自治体もある。そのため札幌では盗難保険証が振り込め詐欺の口座開設書類に利用されたことがあったとか。不在時に郵便受けで盗難に遭って悪用された場合、金欠自治体がちゃんと補償してくれるのかどうか不安だ。
話をパスワードに戻すけれど、クレジットカード情報どころか利用者の命を預かっているとある企業のオンラインチケット購入サービスでは、まともなパスワードが設定できなかったことがあります。
「クレジットカード情報を預けるんだから」とそれなりの強度に作ったつもりのパスワード(大文字小文字数字合計たった9文字)では「長すぎます」と蹴られ、「じゃあこれは」と作ったパスワード(小文字と記号わずか8文字)では「英数字のみにしてください」と蹴られました。
頭にきて「abcd1234」と入れたらそれで通っちゃったんでしばらくそれで使ってましたけれど、これってものすごく安易なパスワードですよね。
そういうリスクの高いところで使うために限度額の低い専用のクレジットカードを作って用心してたら、毎月きちんと引き落とし出来てたせいか、クレジットカード会社が勝手に限度額を上げてしまってなんのことやら。
# 勘弁してよJR○日本さん
>そしてオレオレ視点だとは思いません。
それは例えがマンションだからじゃない?たとえ話は論点がぼやけるから程ほどにね。
>それは例えがマンションだからじゃない?
では、金庫。または財布。現金に相当する金券の管理手段がメール送付なのだから、妥当なところでは?
>>マンションの管理会社が全住民に「全室の鍵を全て変更しました、新しい鍵は普通郵便で送りましたのでポストを確認してください。」と言われたら私なら不安です。
>今回の件の例え話として完全に的外れなんだけど?
そうですよね。マンションの鍵ならユーザーが交換すれば良いだけです 不安になる必要はありません今回はそれが出来ないから問題になってるのに
加えて普通郵便の送り主が「○×管理会社」って手書きで書いてある状態で、送り主が本物かどうかすらわからない状態ですね。
大きく騒ぎすぎだ、大した情報じゃないんだからという方々に質問なんですが、ではなぜbicが数日間ものあいだサイトを閉じていたんでしょう?bicは少なくとも、数日間の売り上げを捨ててでも対処しなければならない情報だと認識しているように思いますが。
で、そんな対処したのに杜撰な解決方法とりやがった!というのが今回の騒動(になりつつある)では?
鍵を全て数字入力式の電子ロックに変更しました。初期設定は世帯主の誕生日です。
でOK?
もう自分で作った鍵に自分が取り換えないと気がすまんのでは?製造元が合鍵作ってるかもしれないし、取り換え業者が合鍵作ってるかもしれないよ?合鍵作る時にも渡された合鍵以外の合鍵を作られてるかもよ?
いや、鍵自体の問題(作り方・合鍵の有無)じゃなくて、送り方の問題ですよ。
封書どころか葉書にテープ留めで送ってきたので、送るならせめて書留使ってくれよ。という話です。
>恣意的なたとえ話は止めておけ。
たとえ話は具体的な話を理解しない相手に対する自説への誘導として用いられるので恣意的でないたとえ話は存在しない
> 具体的な話を理解しないえ? 抽象的な話を具体的にするために使うんじゃないの?ペアノ算術における自然数をりんごやみかんで説明するのはあくまでたとえでしょ?# そしてたとえの方に引きずられて交換法則は間違いになる
>>恣意的なたとえ話は止めておけ。
>たとえ話は具体的な話を理解しない相手に対する自説への誘導として用いられるので恣意的でないたとえ話は存在しない
いやいや、恣意的でないたとえ話は存在し得るでしょう。たとえば、その例えが一般的に広く使われているようなケースです。
> 恣意的なたとえ話は止めておけ。むしろ自i(検閲されました)
パスワード変更不可なんていうサイトはいくらでもある
私はみたことがありませんが…。いくらでもあると言えるほどあるんでしょうか。また、いくらでもあると言う事が仮に事実だったとして、それが問題ではないという事に何故なるんですか?
そもそも親コメントの指摘のように必ずしも否定されるべきものではない
何故です?まさか
「オレオレ視点では必ずしも否定されるべきものではないのが当然だけど、そうなってない! 非常識だ! 問題だぁっ!」 って叫んでる
んですか?具体的理由を出さずに言いっぱなしにされても。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
メールでPW送付し「安全宣言」する企業の限界 (スコア:2)
パスワードをメールで送付していたのは知ってた [srad.jp]けど、まさかそのPWが変更不可だったとは知らなかった。
通勤の乗換え駅にビックのリアル店舗があるから、ちょくちょく消耗品の購入で利用し、そのつどポイントは全額使用するからネットショップの運営が杜撰でもオイラにたいした実害はないからいいけど…
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:0)
とはいえ安易に「危険なパスワード」に変更しちゃうユーザーの存在を考えるとどうするのが良いんだろうね。
#危険なパスワードに変更したユーザーの自己責任?それで商売になれば苦労はしない
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:2)
とはいえ安易に「危険なパスワード」に変更しちゃうユーザーの存在を考えるとどうするのが良いんだろうね。
「危険なパスワード」リストを作って、それと一致したら駄目にするとか?
ビックカメラのパスワード変更は「今のところ出来ない」だけのような気がするけど、違うのかな。
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1, 興味深い)
Re: (スコア:0)
>「今のところ出来ない」
そんな状態でサービス再開するな。変更できない間にメールから盗まれたパスワードで被害が発生したらまた弁償すればいいだけとでも思ってるのか?
Re: (スコア:0)
弁償しただけじゃダメなんですか?
Re: (スコア:0)
危険なパスワードリストを作って、それにできないようにするというのは割とある手法ですね。
たとえば、同じパスワードを連続で設定できないとか、メールアドレスやIDと一緒にできないとか
最低限の文字数や文字種が決まってるとか。
Linuxとかも最近のディストリだと、単純なのを設定しようとすると警告がでた気がします。
そんなに難しくない方法なので、是非対応して欲しいですね
Re: (スコア:0)
吉田町立図書館メソッド (スコア:0)
では初めから全員危険なパスワードにリセット [togetter.com]しましょう。そうすればみんな平等です。
# 「パスワードを平文で保存するなんて頭おかしい(キリッ」とか言われて、システム移行時のパスワード引き継ぎのこととか何も考えないで「対策」に走るとこうなります。
# 何かをすればしないより常に無条件でマシなんてうまい話はそうそう転がっていません。
Re: (スコア:0)
・○文字以上必須
・数字を含む
・記号を含む
・大文字小文字の双方を含む
というパスワード以外には変更できないように設定する。
そしてユーザーから膨大な苦情と「パスワードわからなくなった」メールが……
Re: (スコア:0)
それにしても再開案内を見ててっきり、メール=ハガキで新しいパスワード送ったのかと思ってたらEメールかよ。
第三者機関という名のセキュリティ企業はそれでいいと思ったのか?
Re: (スコア:0)
>とはいえ安易に「危険なパスワード」に変更しちゃうユーザーの存在を考えるとどうするのが良いんだろうね。
・メールアドレスと同じ語句を含むパスワードは設定できません
・パスワードは5文字以上、20字以内でお願いします。必ず数字を入れてください。
みたいなこといわれるけどこのアカウントはさして重要でもないしカネもからんでないし最悪ハックされても文句言わないしそれよりそんな数字入れたりメアドと違えたりすると絶対忘れるんだけどなあ…ってことは時々あります。
五歳児を見守るママじゃないんだからユーザーの勝手に任せてくれてもいいと思うのだ。
Re: (スコア:0)
> 五歳児を見守るママじゃないんだからユーザーの勝手に任せてくれてもいいと思うのだ。
あ・ま・い・!
Re: (スコア:0)
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1, 興味深い)
一般的にそういった類の「当方は一切責任を負いません」という規約は無効とみなされますよ。
たとえば「駐車場内で事故があった場合でも当方は一切責任を負いません」と書いてある駐車場でも、駐車場の構造に問題があった場合はそんなこと書いてあろうが無かろうが訴えられたら負けます。これも同じく「警告:あなたの入力したパスワードは推測されやすいパスワードです。このまま使用しても当方は一切責任を負いません」と書いたとしても「警告を出すほどに問題点を認識していたのに、利用可能にしたのだから過失がある」とかなんとか言われるのがオチです。
何かあった時には屁のつっぱりにもならんでしょう。
Re: (スコア:0)
不正アクセスの被害者となるのはあなたじゃなくてサービス提供側です。
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:2, 興味深い)
>パスワード変更不可なんていうサイトはいくらでもある
不勉強ですみませんがショッピングサイトでパスワード変更不可のサイトを20個ぐらい例示してもらえませんか?
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1, すばらしい洞察)
パスワードを人が送ってきたそのままで
使用しなきゃならんような"通販"サイトは
まず非常識だよね?問題だよね?
クレジットカード使ったり、住所を含めた個人情報を預けるのに。
Re: (スコア:0, すばらしい洞察)
似た事例としては、国保の保険証を普通郵便で発送する自治体の話かな (スコア:3, 参考になる)
国民健康保険の被保険者証の交付方法の改善について [soumu.go.jp]
予算がとれないからといって葉書を送ってきた希望者にだけ簡易書留で発送し、それ以外は普通郵便で送るアホな自治体もある。そのため札幌では盗難保険証が振り込め詐欺の口座開設書類に利用されたことがあったとか。不在時に郵便受けで盗難に遭って悪用された場合、金欠自治体がちゃんと補償してくれるのかどうか不安だ。
モデレータは基本役立たずなの気にしてないよ
まともなパスワードを設定できなかった会社もある (スコア:1)
話をパスワードに戻すけれど、クレジットカード情報どころか利用者の命を預かっているとある企業のオンラインチケット購入サービスでは、まともなパスワードが設定できなかったことがあります。
「クレジットカード情報を預けるんだから」とそれなりの強度に作ったつもりのパスワード(大文字小文字数字合計たった9文字)では「長すぎます」と蹴られ、「じゃあこれは」と作ったパスワード(小文字と記号わずか8文字)では「英数字のみにしてください」と蹴られました。
頭にきて「abcd1234」と入れたらそれで通っちゃったんでしばらくそれで使ってましたけれど、これってものすごく安易なパスワードですよね。
そういうリスクの高いところで使うために限度額の低い専用のクレジットカードを作って用心してたら、毎月きちんと引き落とし出来てたせいか、クレジットカード会社が勝手に限度額を上げてしまってなんのことやら。
# 勘弁してよJR○日本さん
Jubilee
Re: (スコア:0)
「これおれ使ってない」と申告できるから緩くてもいい
(ちょっと言いすぎだが)
と私思ってますがなんかおかしいかな。
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:2, すばらしい洞察)
>そしてオレオレ視点だとは思いません。
それは例えがマンションだからじゃない?
たとえ話は論点がぼやけるから程ほどにね。
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:2)
>それは例えがマンションだからじゃない?
では、金庫。または財布。
現金に相当する金券の管理手段がメール送付なのだから、妥当なところでは?
Re: (スコア:0)
今回の件の例え話として完全に的外れなんだけど?
Re: (スコア:0)
>>マンションの管理会社が全住民に「全室の鍵を全て変更しました、新しい鍵は普通郵便で送りましたのでポストを確認してください。」と言われたら私なら不安です。
>今回の件の例え話として完全に的外れなんだけど?
そうですよね。マンションの鍵ならユーザーが交換すれば良いだけです 不安になる必要はありません
今回はそれが出来ないから問題になってるのに
Re: (スコア:0)
> マンションの管理会社が全住民に「全室の鍵を全て変更しました、新しい鍵は普通郵便で送りましたのでポストを確認してください。」
という例え話と「同じでは無い」と言う指摘をしているのに、間違った例え話で更に話を進めるとか馬鹿なの?
Re: (スコア:0)
加えて普通郵便の送り主が「○×管理会社」って手書きで書いてある状態で、
送り主が本物かどうかすらわからない状態ですね。
大きく騒ぎすぎだ、大した情報じゃないんだからという方々に質問なんですが、
ではなぜbicが数日間ものあいだサイトを閉じていたんでしょう?
bicは少なくとも、数日間の売り上げを捨ててでも対処しなければならない情報だと
認識しているように思いますが。
で、そんな対処したのに杜撰な解決方法とりやがった!
というのが今回の騒動(になりつつある)では?
Re: (スコア:0)
鍵を全て数字入力式の電子ロックに変更しました。
初期設定は世帯主の誕生日です。
でOK?
Re: (スコア:0)
もう自分で作った鍵に自分が取り換えないと気がすまんのでは?
製造元が合鍵作ってるかもしれないし、取り換え業者が合鍵作ってるかもしれないよ?
合鍵作る時にも渡された合鍵以外の合鍵を作られてるかもよ?
Re: (スコア:0)
いや、鍵自体の問題(作り方・合鍵の有無)じゃなくて、送り方の問題ですよ。
封書どころか葉書にテープ留めで送ってきたので、
送るならせめて書留使ってくれよ。という話です。
Re: (スコア:0, すばらしい洞察)
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1, すばらしい洞察)
>恣意的なたとえ話は止めておけ。
たとえ話は具体的な話を理解しない相手に対する自説への誘導として用いられるので恣意的でないたとえ話は存在しない
スコア:-1,オフトピ (スコア:0)
Re: (スコア:0)
> 具体的な話を理解しない
え? 抽象的な話を具体的にするために使うんじゃないの?
ペアノ算術における自然数をりんごやみかんで説明するのはあくまでたとえでしょ?
# そしてたとえの方に引きずられて交換法則は間違いになる
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1)
>>恣意的なたとえ話は止めておけ。
>たとえ話は具体的な話を理解しない相手に対する自説への誘導として用いられるので恣意的でないたとえ話は存在しない
いやいや、恣意的でないたとえ話は存在し得るでしょう。
たとえば、その例えが一般的に広く使われているようなケースです。
Re: (スコア:0)
> 恣意的なたとえ話は止めておけ。
むしろ自i(検閲されました)
Re: (スコア:0)
私はみたことがありませんが…。いくらでもあると言えるほどあるんでしょうか。また、いくらでもあると言う事が仮に事実だったとして、それが問題ではないという事に何故なるんですか?
何故です?まさか
んですか?
具体的理由を出さずに言いっぱなしにされても。