生パスワードを平文メールで送ってくる企業 85
ストーリー by reo
一人NPOに通報だーっ 部門より
一人NPOに通報だーっ 部門より
ある Anonymous Coward 曰く、
はてなの AnonymousDiary で「平文メールにパスワードを書いて送ってくる糞企業一覧」というエントリーが話題になっている。
曰く、リクナビで JR 東海にエントリーしたところ、「○○様 ID: 12345678 パスワード: mypassword こんにちは ! JR 東海人事部です。」というメールが到着したのだそうだ。しかも、定期的にパスワードがメールで送られてきたとのこと。
同様のサイトは他にもあって、いくつもの大企業の名前が挙っている。こういうのはどうにか無くせないものだろうか。
だめですよ (スコア:3, おもしろおかしい)
日本企業は空気を読んでこういうのを華麗にスルーする「協調性に優れ」「コミュニケーション能力に長けた」人を求めていて、技術オタクに用はないんですから。
業務命令というだけで無条件に思考停止できたり、社内の不正を見て見ぬふりをすることこそ組織のためだと心の底から信じ込める人材を選別しているんです。
あっさりトラップに引っかかった増田様の今後のますますのご活躍を心よりお祈り申し上げます。
Re:だめですよ (スコア:1)
第三者からまで祈られちゃった [hatena.ne.jp]増田様の後のますますのご活躍を心よりお祈り申し上げます。
パスワードの使い回し (スコア:2, すばらしい洞察)
> 「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。
Gmailがこの人にとって重要なのであれば、少なくともGmailのパスワードとは異なるパスワードを使用した方がよいのではと思ってしまった。
Re:パスワードの使い回し (スコア:1, すばらしい洞察)
Re: (スコア:0)
大学生の多くがそのバカフィルタに引っかかると思いますよ。
就活生のほぼ全員が使う製品がこんな品質なのを看過していいのかと思い増田に書いた次第です。
パスワードを使いまわした2年前の自分が間抜けなのはそのとおりです。
#元増田なのでAC
Re: (スコア:0)
Re:パスワードの使い回し (スコア:4, 参考になる)
・正確に入力したのにパスワードが通らない、おまえの所のシステムはおかしい
パスワード決定時とCapsLockやNumLockの状態が違うなんてことが
・「パスワードを再発行しろ」、ハッシュ管理のため再発行できません、
そんな馬鹿な話があるか、パスワードを確認できるんだから再発行できるだろう
クリティカルな物でも無い限りパスワードを平文保存なり送信なりしたくなる気持ちも分からなくも無い
一番搾り (スコア:0)
サイトもメールも生が当たり前でしたし(メールは今も結構あるか)
しかしさすがに 21 世紀の今ではナシでしょうな、それは
Re:一番搾り (スコア:1)
sourceforge.jpでも。 (スコア:2, 興味深い)
lists.sourceforge.jpからのメーリングリスト会員情報備忘通知にも生パスワードが入って送られてくるんだよね。
以前から気になってた。
mailmanって生パスワード持ってて、しかもそれをメールで毎月送って来るのかよって。
安易なAC発言反対運動中
Re:sourceforge.jpでも。 (スコア:2, 参考になる)
MM3にしたら変えるとmark shapiroが言っているらしいのだが
https://bugs.launchpad.net/mailman/+bug/266821
なぜ? (スコア:2, すばらしい洞察)
Re:なぜ? (スコア:2, 興味深い)
会社で割り当てられたパスがpass1234>忘れないように自分のゲームとかのもそれにしよう>ウイルスとかで自宅に持って帰っていた会社のデータが流出、でもパスワード掛かってるから大丈夫だよね?>共通パスワードなのでキーロガーの記録から全部開けられちゃった、なんて事が起きないとも限らないし……まぁ無理がある気もするけどw
ウチの会社では、会社で使っているパスワードの私的な転用禁止、までは言ってないなぁ。
社内ネットワークには大半の人間が外部からアクセス出来ないので、余り気にはしていないのだが……注意を出した方が良いのでしょうかねぇ?
パスワードを送る手段って悩みますよね (スコア:1)
職場で使うシステムでは書面による受け渡しで初回ログイン時に変更を促してますが、
メールで教えてと言われる場合には各部局からしかアクセス出来ないNASの上に
書面のPDFファイルをパスワード付きのZIPファイルにして置いて、
パスワードをメールにて送信することにしています。
これをインターネット上のサービスでやるわけにはいかないので、
早くTLSのクライアント証明書やS/MIMEが普及すればいいのにと思います。
屍体メモ [windy.cx]
Re:パスワードを送る手段って悩みますよね (スコア:3, おもしろおかしい)
最近困るのは、オフィスに灰皿が無いので、パスワードを書いた紙を焼くことができません。
#かといって、喫煙所まで持ち出すわけにもいかず。
Re:パスワードを送る手段って悩みますよね (スコア:2)
大昔、「スパイセット」系の玩具で水に溶ける紙ってのがあったんですけど、ああいうのって最近もあるのかなあ。
Re:パスワードを送る手段って悩みますよね (スコア:3, おもしろおかしい)
寝袋としても使える死体袋とか、高揚感が止まらない栄養剤とか、
持ってると警察から声がかかる十得ナイフとか、必ずコーヒーをキャッチしてくれるキーボードとか、
PCの安定動作のお守りとか、サインするだけで使える辞表と遺書とか。
Re:パスワードを送る手段って悩みますよね (スコア:2)
一応、うちのオフィスの契約している書類捨ては、廃棄後、溶解しているそうですが、目の前で見せることはできませんね。
Re:パスワードを送る手段って悩みますよね (スコア:2)
検索してみたら、普通に入手可能なようです。シークレットペーパー [google.co.jp]
オフィスで実演する場合は、筒状に丸めて、水を入れたペットボトルにでもスポンとどうぞ。
30年くらい昔の、学研か何かの教材付録でも見かけた気が。(何枚か大切に取っておいた記憶がうっすらと。探せば出てくるかなあ)
溶ける紙は売ってます (スコア:2)
実際パスワード周知用に探してみたら、普通のオフィス用印刷用紙の体でA4サイズのが売ってました。
ちょっと手元にないので銘柄はすぐには分かりませんが、水に浸すと一瞬できれいに溶けますんで、用が済んだらトイレに流してます。
Re:溶ける紙は売ってます (スコア:1)
トレペに何で文字を書けばいいんだ?
鉛筆・ボールペンは破れて使えないし
マジック・サインペンは書いた文字がにじんで読めなくなるし
にじんでも読めるような字を書くと先日の仙石官房長官の失態のように、
広げたその場にいる非関係者にばれちゃう可能性あるし
Re: (スコア:0)
トイレットペーパー
#ティッシュペーパーはわざわざ「水に溶けません」って書いてあるのもありますね。
##溶けるのレベルが違うんだと思いますが。
Re:パスワードを送る手段って悩みますよね (スコア:1)
食べられる紙 [google.com]を使ってみてはいかがでしょうか?
燃やすよりなんとなくエコ。
#手品用具として売ってるらしい。
Re: (スコア:0)
最近シュレッダー備えているところ多くないですか?
Re:パスワードを送る手段って悩みますよね (スコア:2)
灰にしてしまって、それをなお、粉々にすることを見せるのは、それなりに教育的効果があると思っているんです。
そこまで見せると、シュレッダだと「つなぎ合わせることも出きるんじゃないか」と思ってしまうわけで。
電話で (スコア:2)
特定の顧客相手の時は、電話で相手を確かめてから
パスワードを読み上げます。
でも、お知らせメールみたいに大勢に送るときは使えないなあ。
# 読み上げ方式も、職場の同僚に丸聞こえか…
パスワードのお知らせ (スコア:1)
たいていはメールでログインIDとパスワードが送られてくるんですが、これが経験した限りではすべて平文なんですね。ちょっと頭が痛くなります。ま、忘れた/間違った自分が悪いんですが。
そういうわけで、パスワードがメールで届いたらすぐログインしてパスワードを変更するようにしています。IDと登録済パスワードがセットで変更不可なんてひどいところもありますが、その場合は新規登録します。元のIDの個人情報は適当にいじっておくと。
面倒ですが、お買いものサイトなんかでクレジットカードの情報が登録されちゃってるところなんか、乗っ取られるとたいへんなので、用心に越したことはないと思います。
使わないこと (スコア:1)
Re: (スコア:0)
それはいくらなんでも認識が古すぎるのでは?
最近は
と言う程度は結構どこでもやってると思うけど。
このスラドも、こういった方式をとっているよ。
きちんとこの後パスワード再設定がなされたことがメールで通知されたり、再設定の時にあらかじめ登録した秘密のキーワードや登録してある個人情報を入力を求められたりともう少し厳重になっている所もある。
JARL NEWS (スコア:1)
の宛名シールにはパスワ-ドが印刷されています。
こういうとき情強は (スコア:1)
こういうの [bugmenot.com]使ったりするのかね.
そして個人情報流出.
さすがにそれはないか...
パスワード再登録とサーバ負荷 (スコア:0)
つまりみんなパスワードなんか覚えてないからパス使うイコールパス再登録なんでしょ
ワンタイムパスのために再登録のステップ全部踏ますのは無駄だってことなんじゃないの セキュリティとか誰も理解してないし
#巫女さんの追っかけAC
Re:パスワード再登録とサーバ負荷 (スコア:2, 興味深い)
危険性が判るだけまだマシ、という気もします。
メールで平文パスワードは送ってこないけど、ハッシュにして保存していなかった上に情報漏洩した、なんてなるよりはまだ、ユーザー側で防衛策をとりやすいので。(他のサイトと違うパスワードにする等)
もちろんベストどころかベターですらなくて、単にワーストではないってだけですが。
#巫女なのでAC
Re:パスワード再登録とサーバ負荷 (スコア:2, 参考になる)
関係ない理由でACつけるのは/.Jの文化では……(?)
神社でC#.NET
相手の公開鍵暗号で暗号化してくる会社のリストが知りたい (スコア:0)
そういうリストあると面白いかも。
平文でもいいんジャマイカ (スコア:0)
Re: (スコア:0)
まぁ、普通の人相手にめんどくさい手順で送って、切れられても困るしな。
パスワードだけ? (スコア:0)
「○○様」の個人情報には何も言わないの?個人的にはこっちのほうが気にかかる。
パスワードなんて大半のユーザーが自分の名前+誕生日だとか、IDがメールアドレスなのにフリーメールのアカウントと同じパスワード設定するとか阿呆がたくさんなんだから、目くじら立ててもしょうがない。
これはどういう時のを問題視しているの? (スコア:0)
たまに初回登録時にID:xx PW:xxですって書いてあるメールが来るところはあるけど、それが問題?
それともパスワード再登録とかパスワード忘れたとかの時にメールでパスワードこれですって送るのが問題?
まぁ全部問題か。解決策としたらパスワード忘れたときは教えるのではなく強制変更にして、
期限付きセッションIDを付けたURL送って、期間内にそこから変更してくれでいいんじゃねーの?
初回登録時はパスワードはセキュリティのため表示しませんでいいと思う
既にそうしてるところもあったし。どこだったかは忘れたけど
Re:これはどういう時のを問題視しているの? (スコア:1)
>・多くの大学生がこういう製品を自覚なく使っているであろうこと
大学生としては、そればかりはどうしようもない。
いくらパスワード流出の危険があるからって、利用しないって選択肢はかなりとり辛い。
1を聞いて0を知れ!
Re:これはどういう時のを問題視しているの? (スコア:2)
SSL上で平文パスワードを流す認証とか公開鍵による認証と比べて、公開鍵を使わないチャレンジアンドレスポンスによる認証ってどんなメリットがあるんだろう。
確かにSSLでないBasic認証よりはましなんだけど、どうにも中途半端に思える。
Digest認証を選択する理由というとこんな感じだろうか。
確かにこういうトレードオフはありではあるけどやっぱり微妙。
Re:これはどういう時のを問題視しているの? (スコア:1)
本題と全然関係ないですが。
Apache httpd の場合は利用できるようですよ。(RFC2817 への対応が 2.2 系で追加されたため、接続時にホストを指定することが可能に)
Re:これはどういう時のを問題視しているの? (スコア:2)
ありがとうございます。Apacheのマニュアル [apache.org]に「名前ベースのバーチャルホストは SSL プロトコルの特徴により、 SSL セキュアサーバには使えません。」って書いてあったのでてっきりそうなんだと思ってました。(プロトコルが後から拡張されて規格上は使えるようになったというのをどこかで聞いたのは覚えているのですが)
あとで調べてみます。
Re:これはどういう時のを問題視しているの? (スコア:1)
name base virtual host でSSLが使えるようになる「SNI」 [wikipedia.org]ですが、サーバ側の対応より、クライアント側の対応の方が問題です。
XPのIEでは対応していない [srad.jp]ので、まだちょっと実用に供するのは難しいと思います。
Re:リスクを受容しただけ (スコア:2, すばらしい洞察)
なんだかねー、1万円のへそくりを入れとくのすら100万円の金庫を買わないと許さないみたいな、いきすぎたセキュリティ意識も問題。セキュリティ気にしなさ過ぎももちろん問題だけど。
Re:リスクを受容しただけ (スコア:3, おもしろおかしい)
>「どういうパスワードで登録したか忘れちゃいました」という問い合わせがバカスカ送られる
「パスワードを思い出せるよう心よりお祈り申し上げます」で済むだろそんなもん。
Re:リスクを受容しただけ (スコア:1)
「貴方様の今後のご活躍をお祈り申し上げます」的な。
Re:リスクを受容しただけ (スコア:1)
不可逆なパスワードにしておくと、忘れましたってときにパスワード変更用画面とか一時的なパスワードを生成とかその状態を管理するとか
機能追加がいくつかありそうですし。
# パスワードを暗号化する発想をもたない技術者も少なくないことは事実だとおもいますが
# イントラ系とかそれは起きないの前提でセキュリティゆるくなったりするしなぁ
# yes, fly. no, fry.
Re:パスワードじゃないけど (スコア:2)
ユーザー登録情報に関するパスワードとかだったらまずいけど。
・・運が良ければ、脅威が検出されましたと出ます (スコア:2)