アカウント名:
パスワード:
Twitterでは総ツッコミなわけだが、理由は3つか。
この手の話は散々あるから1.を指摘したくなるけど、一番面白いのは3.だよね。不法侵入は犯罪なので鍵を掛けなくてもセキュアです、ってなもんで。
平文パスワードのメール送信は時折見かけるが、郵送とどっちが危険かは判断に迷う。手作業っぽいので担当者に見られる郵送は怖いが、それを言えばどうせ平文なので全部見れる。郵送は途中経路で開封はされない一方、メールは暗号化してなければ途中経路の全員が見れる。やっぱメールの方が危ないかな。
郵送の方が,途中経路で開封された場合「痕跡が残りやすい」というのが重要だと思います。
開けて中身見て別の封筒に入れれば痕跡ないですけどね。同様の封筒を用意する必要がありますが、受け手はどんな封筒で来るのか知らないから正規のものでなくてもバレない。
紙粘土で簡単にコピーできそう。
いまどき洋酒以外で見た記憶がないな自分もスタンプとワックスまだあるけど20年以上使ってないや
封蝋が正規の物であるとどうやって確認するの?
あれは良く知ってる人からの手紙でないと使えない。もしくは、送信者の印をだれでも知ってて、偽造したら処刑されるような権力を持ってる場合でないと使えない。
「偽造がばれたら罰せられる」という縛りがないと意味がない、というのは普通の印鑑(認印含む)と一緒ですね。この手の個人識別は、「その瞬間、偽装してないことが分かる」ことよりも「後でバレたらヤバい罰」ということで担保されている、ということがあまり理解されていませんな。サインだろうが三文判だろうが金印だろうが、よほどクリティカルな場面でもなきゃ「その場で印影照合」はしないもんだ(と言いつつ、銀行ではメッチャ日常的にやられていたが)
♪手の平を太陽に透かして見ればぁ~
透かしても出血しないけど、痕跡あるのかな?
偽装は可能ですけど郵送は開封されたかどうかの検出が100%じゃないけど可能ですね。無論、封筒の外から見ることも可能だし、見えにくくもできるし、それの対策も・・・というといたちごっこになりますけど。
パスワードは平文で保存してたのかな、復号したのではなくて?
もし日本なら、本人限定郵便で送るとかしても郵送では本質的にダメだと言ってる?かといってオンラインでできないなら、そのアカウントの使用できるようにするのはできないから破棄して、最初から作り直しが安全でしょう。あるいは店頭に出向いて身分証明くらい?
頭の悪い連中にもできる確実な方法を、となると無理があるんじゃない?FC氏(Freakyclown)が納得できる方法は万人には無理があると思う。
> パスワードは平文で保存してたのかな、復号したのではなくて?
昨今では、そもそも復号できる形式で保存するな、が常識では?本件の一番の問題、「元のパスワードが郵送された」ことです。
銀行とかパスワードを郵送して来るとこはちょくちょくありますが、それが再発行されたランダムパスワードなら別に問題にはならなかったでしょう。仰る通り、途中で開封されたなら再発行すればいいだけなので。
ですが、これが自分が入力したパスワードが途中で開封されたとなると、話は全然別です。(使い回しの是非は一旦置いておくとして)仮に複数サイトでパスワードを使い回していた場合、全サイトのパスワード変更の必要が生じます。被害は甚大です。
それどころか、封筒に入れた担当者はパスワードを見てるんだぜ
だから「元のパスワード」であることも問題点の一つなんでしょ。
そういう事情があったとしても、パスワードリセット(リマインドではなく)なんだから、ランダムパスワード設定して送ってくれればいいだけ(ISP側にはパスワードリマインドの仕組み(手順)しかなかったのかもしれないが)。
"途中経路で見れる"の難易度が郵送のほうが低い気がする。特に最終段階において。
日本だと封筒に赤字で「パスワード在中」とか書かれたりして……
どこぞの銀行がうちの会社に「ワンタイムパスワード生成器在中」っていうので送ってきたことがあったなぁ。まあ、生成器だけだからいいんだけど、ねぇ。
書いてあることによって慎重に扱ってくれて、良い方に転ぶケースもあると思うので、一概に良い/悪いは決められないなぁ。
そういう効果を期待するなら「こわれもの注意」「精密機器在中」でいいだろう
残念ながら放り投げそう。ワンタイムパスワード生成器でも放り投げそうだが。
"慎重に扱う"というのは衝撃を与えないようにということだけではないと思うが…。「パスワード在中」でもにょるなら、「重要書類在中」でも同じようにもにょってもらわないと。
電話でパスワードの半分、郵送でパスワードの半分を送ればいいと思う。
電話の盗聴も違法だから、その理屈だったら、電話でパスワード教えてもいいと思うけど。郵送する理由はなりすまし防止なんだろうけど、なりすましも違法だろうからなあ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
総ツッコミ (スコア:2, 興味深い)
Twitterでは総ツッコミなわけだが、理由は3つか。
この手の話は散々あるから1.を指摘したくなるけど、一番面白いのは3.だよね。
不法侵入は犯罪なので鍵を掛けなくてもセキュアです、ってなもんで。
平文パスワードのメール送信は時折見かけるが、郵送とどっちが危険かは判断に迷う。
手作業っぽいので担当者に見られる郵送は怖いが、それを言えばどうせ平文なので全部見れる。
郵送は途中経路で開封はされない一方、メールは暗号化してなければ途中経路の全員が見れる。
やっぱメールの方が危ないかな。
Re: (スコア:0)
郵送の方が,途中経路で開封された場合「痕跡が残りやすい」というのが重要だと思います。
Re: (スコア:0)
開けて中身見て別の封筒に入れれば痕跡ないですけどね。
同様の封筒を用意する必要がありますが、受け手はどんな封筒で来るのか知らないから正規のものでなくてもバレない。
Re:総ツッコミ (スコア:1)
Re: (スコア:0)
紙粘土で簡単にコピーできそう。
Re: (スコア:0)
いまどき洋酒以外で見た記憶がないな
自分もスタンプとワックスまだあるけど20年以上使ってないや
Re: (スコア:0)
封蝋が正規の物であるとどうやって確認するの?
あれは良く知ってる人からの手紙でないと使えない。
もしくは、送信者の印をだれでも知ってて、偽造したら処刑されるような権力を持ってる場合でないと使えない。
Re: (スコア:0)
「偽造がばれたら罰せられる」という縛りがないと意味がない、というのは普通の印鑑(認印含む)と一緒ですね。
この手の個人識別は、「その瞬間、偽装してないことが分かる」ことよりも「後でバレたらヤバい罰」ということで担保されている、ということがあまり理解されていませんな。
サインだろうが三文判だろうが金印だろうが、よほどクリティカルな場面でもなきゃ「その場で印影照合」はしないもんだ(と言いつつ、銀行ではメッチャ日常的にやられていたが)
Re: (スコア:0)
♪手の平を太陽に透かして見ればぁ~
透かしても出血しないけど、痕跡あるのかな?
Re:総ツッコミ (スコア:1)
Re: (スコア:0)
偽装は可能ですけど郵送は開封されたかどうかの検出が100%じゃないけど可能ですね。
無論、封筒の外から見ることも可能だし、見えにくくもできるし、それの対策も・・・というといたちごっこになりますけど。
パスワードは平文で保存してたのかな、復号したのではなくて?
もし日本なら、本人限定郵便で送るとかしても郵送では本質的にダメだと言ってる?
かといってオンラインでできないなら、そのアカウントの使用できるようにするのはできないから破棄して、最初から作り直しが安全でしょう。
あるいは店頭に出向いて身分証明くらい?
頭の悪い連中にもできる確実な方法を、となると無理があるんじゃない?
FC氏(Freakyclown)が納得できる方法は万人には無理があると思う。
一番の問題点は「元のパスワードが郵送された」こと (スコア:0)
> パスワードは平文で保存してたのかな、復号したのではなくて?
昨今では、そもそも復号できる形式で保存するな、が常識では?
本件の一番の問題、「元のパスワードが郵送された」ことです。
銀行とかパスワードを郵送して来るとこはちょくちょくありますが、それが再発行されたランダムパスワードなら別に問題にはならなかったでしょう。
仰る通り、途中で開封されたなら再発行すればいいだけなので。
ですが、これが自分が入力したパスワードが途中で開封されたとなると、話は全然別です。
(使い回しの是非は一旦置いておくとして)仮に複数サイトでパスワードを使い回していた場合、全サイトのパスワード変更の必要が生じます。被害は甚大です。
Re: (スコア:0)
それどころか、封筒に入れた担当者はパスワードを見てるんだぜ
Re: (スコア:0)
Re: (スコア:0)
だから「元のパスワード」であることも問題点の一つなんでしょ。
そういう事情があったとしても、パスワードリセット(リマインドではなく)なんだから、ランダムパスワード設定して送ってくれればいいだけ(ISP側にはパスワードリマインドの仕組み(手順)しかなかったのかもしれないが)。
Re: (スコア:0)
"途中経路で見れる"の難易度が郵送のほうが低い気がする。特に最終段階において。
Re: (スコア:0)
日本だと封筒に赤字で「パスワード在中」とか書かれたりして……
Re: (スコア:0)
どこぞの銀行がうちの会社に「ワンタイムパスワード生成器在中」っていうので送ってきたことがあったなぁ。
まあ、生成器だけだからいいんだけど、ねぇ。
Re: (スコア:0)
書いてあることによって慎重に扱ってくれて、良い方に転ぶケースもあると思うので、一概に良い/悪いは決められないなぁ。
Re: (スコア:0)
そういう効果を期待するなら「こわれもの注意」「精密機器在中」でいいだろう
Re: (スコア:0)
残念ながら放り投げそう。
ワンタイムパスワード生成器でも放り投げそうだが。
Re: (スコア:0)
"慎重に扱う"というのは衝撃を与えないようにということだけではないと思うが…。
「パスワード在中」でもにょるなら、「重要書類在中」でも同じようにもにょってもらわないと。
Re: (スコア:0)
電話でパスワードの半分、郵送でパスワードの半分を送ればいいと思う。
電話の盗聴も違法だから、その理屈だったら、電話でパスワード教えてもいいと思うけど。
郵送する理由はなりすまし防止なんだろうけど、なりすましも違法だろうからなあ。