アカウント名:
パスワード:
旅行サイトってそこまで安全性を確保する必要ある?そりゃセキュリティだけの話なら安全性が良いに決まっているけどそれに掛かるコストなどは適当か?今回の「2)」ってのも 難しい=扱いにくい=良いパスワード みたいな内容で付箋やメモで残すようなことを誘発している。あと、パスワード以外の視点も検証しているのかな?IDをどうするかとか、証明書の扱いとか...
全てのサイトがそうかは解りませんが、他のコメントで上がっている高速バスネットの登録内容 [kousokubus.net]に、・氏名・電話番号・クレジット番号があるため、安全性を求める必要はあると思います。
# 話は全く変わりますが、(1)や(2)が満たせてなくとも、# "数回パスワード入力に失敗した場合はアカウントロックや人間確認(reCAPTCHAとか)する"# を課せば、総当たりや辞書攻撃をかなり緩和できると思うのですが、# 安全性の判断には考慮に含める価値はないのでしょうか...
むしろ、バス乗るのに何で電話番号やメールアドレスが必須なんだよってところがツッコミどころじゃないかな。要らない情報を集めようとするところは大抵ヤバイ。緑の窓口なら金払って終わりなのに。
高速バスなので、一部を除き無人駅です。メールアドレスはメールで乗車チケットが届くので。電話番号はバス停に居ない時の連絡用ですね。
バスの運転手や車掌が電話かけてくることなんてないだろ。
事故った時とかに、それらの情報を手がかりに乗客の安否確認や家族への連絡をするんじゃないすかね。
いや、普通の乗客は電話番号なんて伝えずに現金払いで乗ってるわけですし、少なくとも「必須」にする必要はないでしょう。そういうサービスをオプションで提供したいのなら、情報管理の精度と天秤にかけてありがたがる人もいるかもしれませんけれど。
東京〜大阪とかの夜行バスだと、事前にユーザ登録してチケット予約してから乗ったことしかなかった。2・3時間程度乗車する高速バスなら確かカウンターで現金でチケット買えたっけ。
交代要員はいても、基本ワンマンなので乗客管理も運転手のお仕事。運転手が乗客リストを持っていて、来ない場合掛けてましたよ。おかげで10分出発が遅延。高速と休憩時間で調整して定着でしたけど。
そもそも深夜じゃ電話窓口は営業時間外でつながらないし。
俺もそれがずっと疑問なんだよね。失敗の回数制限を付けない理由ってサポートコストなのかな?
アカウントロックはまずいんじゃないかな?IDは秘匿情報じゃないから。
DoS攻撃に弱い
昔は本人間違えても使えなくなってた。確かCD/ATMに飲まれるんじゃなかったかな♯本人確認が必要なんですぐには戻せない
操作者の画像記憶とってとかなると保存・消去がうるさいことになる
> ・氏名> ・電話番号> ・クレジット番号> があるため、安全性を求める必要はあると思います。
それ、ガッチガッチのパスワードが必要? っていう疑問です。個人情報保護の御旗を立てれば答えはYesのように思えるけど、クレジットカード番号が後から見に行けるわけではないし(違うなら指摘してね)。確認メールが飛ぶなら不正使用されても直ぐに対処できるし。氏名や電話番号が漏れたところでそんなに問題あるの?実際? 特定範囲とはいえばらまいている情報なのに。そして、今まで漏れた事件は個人のパスワードの脆弱性ってあまり聞かない。管理者側のアカウント管理ミスで大量に漏れた方はよく聞くけどね。
それよりも高速バスネットについては前のコメントにも書いたけどIDの問題の方が大きいように見える。メールアドレスが使えるところとかが。
パスワードが漏れるとマズいのは他のサービスでも使い回している可能性が高いことだと思う。強度に問題があるパスワードを使っているような人ならなおさら。
それってパスワードの複雑さと関係ある?パスワードが漏れてしまえば複雑さとは関係ないし、強固なセキュリティが必要な場所にはそれなりのパスワードや追加の認証手段をつけるのだし。セキュリティレベルが違うのに同じ強度のパスワードを要求したらそれこそ同じパスワード使われる結果になるよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
弱いパスワードでもいいじゃん (スコア:-1)
旅行サイトってそこまで安全性を確保する必要ある?
そりゃセキュリティだけの話なら安全性が良いに決まっているけどそれに掛かるコストなどは適当か?
今回の「2)」ってのも 難しい=扱いにくい=良いパスワード みたいな内容で付箋やメモで残すようなことを誘発している。
あと、パスワード以外の視点も検証しているのかな?IDをどうするかとか、証明書の扱いとか...
Re:弱いパスワードでもいいじゃん (スコア:3, 興味深い)
全てのサイトがそうかは解りませんが、
他のコメントで上がっている高速バスネットの登録内容 [kousokubus.net]に、
・氏名
・電話番号
・クレジット番号
があるため、安全性を求める必要はあると思います。
# 話は全く変わりますが、(1)や(2)が満たせてなくとも、
# "数回パスワード入力に失敗した場合はアカウントロックや人間確認(reCAPTCHAとか)する"
# を課せば、総当たりや辞書攻撃をかなり緩和できると思うのですが、
# 安全性の判断には考慮に含める価値はないのでしょうか...
Re:弱いパスワードでもいいじゃん (スコア:1)
むしろ、バス乗るのに何で電話番号やメールアドレスが必須なんだよってところがツッコミどころじゃないかな。要らない情報を集めようとするところは大抵ヤバイ。緑の窓口なら金払って終わりなのに。
Re: (スコア:0)
高速バスなので、一部を除き無人駅です。
メールアドレスはメールで乗車チケットが届くので。
電話番号はバス停に居ない時の連絡用ですね。
Re: (スコア:0)
バスの運転手や車掌が電話かけてくることなんてないだろ。
Re:弱いパスワードでもいいじゃん (スコア:1)
事故った時とかに、それらの情報を手がかりに乗客の安否確認や家族への連絡をするんじゃないすかね。
Re: (スコア:0)
いや、普通の乗客は電話番号なんて伝えずに現金払いで乗ってるわけですし、少なくとも「必須」にする必要はないでしょう。そういうサービスをオプションで提供したいのなら、情報管理の精度と天秤にかけてありがたがる人もいるかもしれませんけれど。
Re:弱いパスワードでもいいじゃん (スコア:1)
東京〜大阪とかの夜行バスだと、事前にユーザ登録してチケット予約してから乗ったことしかなかった。
2・3時間程度乗車する高速バスなら確かカウンターで現金でチケット買えたっけ。
Re: (スコア:0)
交代要員はいても、基本ワンマンなので乗客管理も運転手のお仕事。
運転手が乗客リストを持っていて、来ない場合掛けてましたよ。
おかげで10分出発が遅延。高速と休憩時間で調整して定着でしたけど。
そもそも深夜じゃ電話窓口は営業時間外でつながらないし。
Re: (スコア:0)
俺もそれがずっと疑問なんだよね。
失敗の回数制限を付けない理由ってサポートコストなのかな?
Re: (スコア:0)
アカウントロックはまずいんじゃないかな?IDは秘匿情報じゃないから。
Re: (スコア:0)
DoS攻撃に弱い
昔は本人間違えても使えなくなってた。
確かCD/ATMに飲まれるんじゃなかったかな
♯本人確認が必要なんですぐには戻せない
操作者の画像記憶とってとかなると保存・消去がうるさいことになる
Re: (スコア:0)
> ・氏名
> ・電話番号
> ・クレジット番号
> があるため、安全性を求める必要はあると思います。
それ、ガッチガッチのパスワードが必要? っていう疑問です。
個人情報保護の御旗を立てれば答えはYesのように思えるけど、クレジットカード番号が後から見に行けるわけではないし(違うなら指摘してね)。
確認メールが飛ぶなら不正使用されても直ぐに対処できるし。
氏名や電話番号が漏れたところでそんなに問題あるの?実際? 特定範囲とはいえばらまいている情報なのに。
そして、今まで漏れた事件は個人のパスワードの脆弱性ってあまり聞かない。管理者側のアカウント管理ミスで大量に漏れた方はよく聞くけどね。
それよりも高速バスネットについては前のコメントにも書いたけどIDの問題の方が大きいように見える。メールアドレスが使えるところとかが。
Re: (スコア:0)
パスワードが漏れるとマズいのは他のサービスでも使い回している可能性が高いことだと思う。
強度に問題があるパスワードを使っているような人ならなおさら。
Re: (スコア:0)
それってパスワードの複雑さと関係ある?
パスワードが漏れてしまえば複雑さとは関係ないし、強固なセキュリティが必要な場所にはそれなりのパスワードや追加の認証手段をつけるのだし。
セキュリティレベルが違うのに同じ強度のパスワードを要求したらそれこそ同じパスワード使われる結果になるよ。