パスワードを忘れた? アカウント作成
272185 story
インターネット

生パスワードを平文メールで送ってくる企業 85

ストーリー by reo
一人NPOに通報だーっ 部門より

ある Anonymous Coward 曰く、

はてなの AnonymousDiary で「平文メールにパスワードを書いて送ってくる糞企業一覧」というエントリーが話題になっている。

曰く、リクナビで JR 東海にエントリーしたところ、「○○様 ID: 12345678 パスワード: mypassword こんにちは ! JR 東海人事部です。」というメールが到着したのだそうだ。しかも、定期的にパスワードがメールで送られてきたとのこと。

同様のサイトは他にもあって、いくつもの大企業の名前が挙っている。こういうのはどうにか無くせないものだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • だめですよ (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2010年11月10日 12時37分 (#1856182)

    日本企業は空気を読んでこういうのを華麗にスルーする「協調性に優れ」「コミュニケーション能力に長けた」人を求めていて、技術オタクに用はないんですから。
    業務命令というだけで無条件に思考停止できたり、社内の不正を見て見ぬふりをすることこそ組織のためだと心の底から信じ込める人材を選別しているんです。
    あっさりトラップに引っかかった増田様の今後のますますのご活躍を心よりお祈り申し上げます。

  • パスワードの使い回し (スコア:2, すばらしい洞察)

    by kailas (1249) on 2010年11月10日 12時44分 (#1856187) ホームページ 日記

    > 「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。

    Gmailがこの人にとって重要なのであれば、少なくともGmailのパスワードとは異なるパスワードを使用した方がよいのではと思ってしまった。

    • by Anonymous Coward on 2010年11月10日 13時07分 (#1856220)
      なんでGmailの重要なパスワードをリクナビに教えるんでしょうね。パスワードを複数サイトで使い回すのは、他人にパスワードを教えているのと同じ [ywcafe.net]ことだというのが理解できてないんだとしたら、この平文パスワードメールはバカフィルタとしてとてもいい仕事をしてますね。
      親コメント
      • by Anonymous Coward

        大学生の多くがそのバカフィルタに引っかかると思いますよ。
        就活生のほぼ全員が使う製品がこんな品質なのを看過していいのかと思い増田に書いた次第です。
        パスワードを使いまわした2年前の自分が間抜けなのはそのとおりです。

        #元増田なのでAC

    • by Anonymous Coward
      それはそれとして、ユーザーが自分で決めたパスワードなら暗号化以前にそもそも送信する必要なくね?
      • by Anonymous Coward on 2010年11月10日 13時40分 (#1856267)
        送信するのはクレーム避けだからです
        ・正確に入力したのにパスワードが通らない、おまえの所のシステムはおかしい
         パスワード決定時とCapsLockやNumLockの状態が違うなんてことが
        ・「パスワードを再発行しろ」、ハッシュ管理のため再発行できません、
         そんな馬鹿な話があるか、パスワードを確認できるんだから再発行できるだろう

        クリティカルな物でも無い限りパスワードを平文保存なり送信なりしたくなる気持ちも分からなくも無い
        親コメント
      • by Anonymous Coward
        まあ昔は登録したら確認メールを送ってくるのが定番だったりしました
        サイトもメールも生が当たり前でしたし(メールは今も結構あるか)

        しかしさすがに 21 世紀の今ではナシでしょうな、それは
  • by vikke (8037) on 2010年11月10日 12時58分 (#1856204) 日記

    lists.sourceforge.jpからのメーリングリスト会員情報備忘通知にも生パスワードが入って送られてくるんだよね。
    以前から気になってた。
    mailmanって生パスワード持ってて、しかもそれをメールで毎月送って来るのかよって。

    --
    安易なAC発言反対運動中
  • なぜ? (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2010年11月10日 13時21分 (#1856241)
    この人、なぜ大事なパスワード使ってるんだろう。 この人、就職して職場でパスワード割り当てられたら そのパスワードで、全部統一して使いまわしてしまいそうで怖い。 雇えない。
  • 職場で使うシステムでは書面による受け渡しで初回ログイン時に変更を促してますが、
    メールで教えてと言われる場合には各部局からしかアクセス出来ないNASの上に
    書面のPDFファイルをパスワード付きのZIPファイルにして置いて、
    パスワードをメールにて送信することにしています。

    これをインターネット上のサービスでやるわけにはいかないので、
    早くTLSのクライアント証明書やS/MIMEが普及すればいいのにと思います。

    --
    屍体メモ [windy.cx]
  • by Anonymous Coward on 2010年11月10日 13時03分 (#1856213)
    特定の企業じゃないんですが。登録したサイトのパスワードを忘れた、あるいは指定したつもりのパスワードが通らなかったとき「パスワードのお知らせ」とか「パスワードの再発行」といったサービスを使うことがあります。

    たいていはメールでログインIDとパスワードが送られてくるんですが、これが経験した限りではすべて平文なんですね。ちょっと頭が痛くなります。ま、忘れた/間違った自分が悪いんですが。

    そういうわけで、パスワードがメールで届いたらすぐログインしてパスワードを変更するようにしています。IDと登録済パスワードがセットで変更不可なんてひどいところもありますが、その場合は新規登録します。元のIDの個人情報は適当にいじっておくと。

    面倒ですが、お買いものサイトなんかでクレジットカードの情報が登録されちゃってるところなんか、乗っ取られるとたいへんなので、用心に越したことはないと思います。
    • by sindobook (35700) on 2010年11月10日 16時02分 (#1856378)
      用心するなら、お買い物サイト自体使うのはやめた方がいいですね。だって、いくら自分がパスワードを厳重にしてもサイト側の管理が杜撰だとザルですから。
      親コメント
    • by Anonymous Coward

      たいていはメールでログインIDとパスワードが送られてくるんですが、これが経験した限りではすべて平文

      それはいくらなんでも認識が古すぎるのでは?
      最近は

      1. パスワード忘れにメールアドレスを入力
      2. パスワードリセットのURLがメールで届く
      3. パスワードをリセットして再設定

      と言う程度は結構どこでもやってると思うけど。
      このスラドも、こういった方式をとっているよ。

      きちんとこの後パスワード再設定がなされたことがメールで通知されたり、再設定の時にあらかじめ登録した秘密のキーワードや登録してある個人情報を入力を求められたりともう少し厳重になっている所もある。

  • の宛名シールにはパスワ-ドが印刷されています。

  • by anjinho (29436) on 2010年11月11日 11時57分 (#1856934)

    こういうの [bugmenot.com]使ったりするのかね.
    そして個人情報流出.

    さすがにそれはないか...

  • by Anonymous Coward on 2010年11月10日 12時45分 (#1856190)

    つまりみんなパスワードなんか覚えてないからパス使うイコールパス再登録なんでしょ
    ワンタイムパスのために再登録のステップ全部踏ますのは無駄だってことなんじゃないの セキュリティとか誰も理解してないし

    #巫女さんの追っかけAC

  • メールを送る相手の公開鍵で暗号化して送ってくるような会社のほうが珍しいと思う。
    そういうリストあると面白いかも。
  • by Anonymous Coward on 2010年11月10日 13時06分 (#1856218)
    あとは運用の問題
    • by Anonymous Coward

      まぁ、普通の人相手にめんどくさい手順で送って、切れられても困るしな。

  • by Anonymous Coward on 2010年11月10日 13時27分 (#1856249)

    「○○様」の個人情報には何も言わないの?個人的にはこっちのほうが気にかかる。

    パスワードなんて大半のユーザーが自分の名前+誕生日だとか、IDがメールアドレスなのにフリーメールのアカウントと同じパスワード設定するとか阿呆がたくさんなんだから、目くじら立ててもしょうがない。

  • by Anonymous Coward on 2010年11月10日 13時31分 (#1856254)

    たまに初回登録時にID:xx PW:xxですって書いてあるメールが来るところはあるけど、それが問題?
    それともパスワード再登録とかパスワード忘れたとかの時にメールでパスワードこれですって送るのが問題?

    まぁ全部問題か。解決策としたらパスワード忘れたときは教えるのではなく強制変更にして、
    期限付きセッションIDを付けたURL送って、期間内にそこから変更してくれでいいんじゃねーの?

    初回登録時はパスワードはセキュリティのため表示しませんでいいと思う
    既にそうしてるところもあったし。どこだったかは忘れたけど

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...