パスワード失念時の「秘密の質問」に答えて3200以上のアカウントを不正入手した男 71
ストーリー by hylom
秘密の質問への回答は秘密にしておけ 部門より
秘密の質問への回答は秘密にしておけ 部門より
capra 曰く、
米国在住の23歳、George Bronkは3200以上ものメールアカウントをクラックし、私的な写真をそのアカウントの持ち主のFacebookアカウントにアップした罪で訴えられているそうだ(IT WORLD、本家/.)。
容疑者の手口は定番とも言える、GmailやYahooメールなどのWebメールアカウントの「秘密の質問」に答えるというもの。Facebookのアカウントをチェックすれば簡単に答えが分かるものも多く、次々と成功したとのこと。一旦ログインに成功したあとはパスワードを変更して本人をロックアウトし、ユーザーの「きわどい写真」を探しだして本人のFacebookのアカウントにアップしていったそうだ。
容疑者は172のアカウントにおいてユーザのセミヌードの写真を見つけたそうで、うち1件に関しては、より際どい写真を送るよう脅迫していたことも分かっている。裁判では児童ポルノや個人情報の盗難、またハッキングの重罪において懲役6年を求刑されているとのこと。
「秘密の質問」形式はソーシャルネットワークが発達する前の時代には成り立ったのかもしれないが、これからはまた違った方法を開拓する必要があるのかもしれない。
基本的には (スコア:3, すばらしい洞察)
秘密の質問なんて設定してはいけません。
・忘れたパスワードなんか再発行。
・どうしても、そこを答えなきゃいけないときは、質問とはまったく違う、というか、自動生成した文字列を答えにいれる。
・パスワード再発行ができないところは、お金がからんでない限り、塩漬け。
・最後は、ネットを使わず本人認証。
ココセコムなんて、最初から電話と郵便しかない。
Re:基本的には (スコア:2)
おっしゃるとおり。
実質、ヒント付き、答えの範囲限定のパスワードと同等なものも多いから、
わざわざ辞書攻撃してくださいと誘導しているようなものだよね。
パスワード忘れに対するソリューションとしては相当よろしくないけど、実装が簡単だからね・・。
Windows7とかの「パスワードのヒント」ぐらいが許せる範囲かな、と思います。
Re:基本的には (スコア:2, おもしろおかしい)
やっぱり/.erはそういう人多いですね。
もうかなり昔の話になるけど秘密の質問の選択肢の1つに「血液型は?」てのがあって、バカなの?って思ったことが…
Re:基本的には (スコア:1)
あ、バラしちまったorz
Re:基本的には (スコア:1, すばらしい洞察)
設定なんかしたくないけど、設定しないと登録できない依怙地なシステムが多すぎるんだ。
せっかくメインのパスワードに強度の強いものを設定していても、まじめに質問と対になる答えを設定していたら強度ガタ落ちだもんねぇ。
仕方ないのでメインのパスワードとは別に、毎回20~30桁位の乱数パスワードを生成して入れている。
あれを最初に考えた人は強烈に反省してほしい。
Re: (スコア:0)
去年、ゆうちょもログインしたとき質問が出るようになったけどなんだかなぁ、と。
最も、3つ登録して2つ答えないといけないし、相変わらずパスワード忘れは郵送対応なので問題はないと思うが、ログインの時に質問してくるセクション入れて果たして効果があるのかどうか。
Re: (スコア:0)
http://cloud.watch.impress.co.jp/epw/cda/topic/2008/02/15/12257.html [impress.co.jp]
Re: (スコア:0)
#合言葉を間違えただけで、郵送で再登録をすることになり、面倒臭かったので、今は紙にIDと合言葉、パスワードをまとめて書いてあります。システムを厳しくすると、こっちが対応できん。
Re:基本的には (スコア:1)
秘密の質問がイヤな理由
・問題を自分で作れる場合、長考してしまう。5分くらい悩む。
・回答に数字アルファベットが含まれる場合半角or全角で悩む。
・回答が外来語の場合、カタカナかアルファベットかで悩む。
・Q:好きな犬種は?
A:グレートピレニーズ
グレート・ピレニーズ
ピレニアンマウンテンドッグ
ピレネー犬
どれにしたっけ?
Re: (スコア:0)
Re:基本的には (スコア:2)
そこなんですよね。結局メモするとメモをどう保存するかという問題になるし。「あなたのペットの名前は」「パラマウント」とかそんな感じでどうでしょう。やっぱり思い出せないかもしれませんが。
人生は七転び八起き、一日は早寝早起き
Re: (スコア:0)
セキュアな代理人システムを誰か開発して (スコア:0)
かわりにアカウント作ってくれって人(主に年寄り)が多いもんで、そこをきっちりされても困ることが多かったり。
いろんな窓口でも、代理人にしてもらうってのが難しくなってきてるし...
えぇっ、みんな なにやってんの?! (スコア:3, 興味深い)
違うでしょ。あれの使い方は「答を入れる」んじゃないよ。
まず、パスワードを決めるわけさ。
「えーっと、今回は PetNoNamaeHa? にするか」
で、「秘密の質問」を正しく選ぶのさ。
「えっと、さっき入れたパスワードと同じ分は…あーこれこれ『ペットの名前は?』。
答はランダムっぽい文字列 QWERTY8102 っと」
で、パスワードを忘れたら、「パスワードを忘れたら」画面に行くと、秘密の質問っていうタイトルでパスワードが書いてあるわけさ。
# 大嘘
fjの教祖様
正解を不正解にする (スコア:3, 興味深い)
前からこの構想はあるんだけど、「クイズ年の差なんて」のNGワードみたく、予め決めておいた答えを入れると、その時の通信記録を保存するとともにアカウントをロックする「トラップパスワード」のようなものはどこかやってないの?
例えば、誕生日を聞かれた時、正解をトラップパスワードにして、45月67日を正解にするとか。
Re:正解を不正解にする (スコア:1)
でもそういうのっってパスワードを忘れたからつかうので、そう仕掛けた事をわすれている可能性が高いと思うに1ガバス。
---にょろ~ん
まめな奴 (スコア:2)
Re:まめな奴 (スコア:1)
rsa_id.pub (スコア:2, 興味深い)
なんで誰も公開鍵暗号モードを追加しないんだろう
#きっとwindowsのせいに違いない・・・
#なんて言うだけだと野暮なので聞きたいのですが
#今の7やvistaにはssh-keygenは最初から入っているんでしょうか?
新人。プログラマレベルをポケモンで言うと、コラッタぐらい
Re:rsa_id.pub (スコア:1)
> なんで誰も公開鍵暗号モードを追加しないんだろう
やっているところはやっている
RSA SecurID (スコア:1, 興味深い)
ところで (スコア:2)
Firefoxのアドオンでパスワードを自動生成してくれるものは無いですかね。てか、見つけられませんでした。
いちいち、別ウインドウで生成するのが面倒くさいもので、自動的にやってくれて、それを、パスワードストアに入れておいてくれると、新しいサイトに登録するのがとても楽。
Re:ところで (スコア:1)
1passwordはいかが?
「秘密の質問」は、おかしいよね。 (スコア:1, すばらしい洞察)
わざわざ本人の嗜好を調べるまでもなく、とりあえず「カレー」を入力したら、かなりの確率で当ってしまうと思う。
たとえ当たり率が1%でも、10万アカウントに対して試行すりゃ、1千アカウントを盗めてしまうわけで。
同様に、「好きな色は?」などというのも、危なくてたまらない。
Re: (スコア:0)
> 「好きな色は?」などというのも、危なくてたまらない。
Truecolorの中から選ぶんだ!!
Re: (スコア:0)
質問も秘密にすれば良い。
「さて問題です。答えはなんでしょうか」
Re:「秘密の質問」は、おかしいよね。 (スコア:2, 興味深い)
42
その他 (スコア:1)
どこのサービスだったか、デフォルトの質問以外に「その他」としてユーザー自身が質問を設定することができたのがあったが…
トレ毎のユーザー登録だったかな?
その後も厄介 (スコア:1, 興味深い)
こういう「秘密の質問」みたいなのでアカウント取られるとその後も大変そうですね。
不審な動きをしなければ、サービスを提供している側からは正規のログインと
見分けがつかないし。
フィッシング詐欺でアカウント取られた時もそうだけど、どうしたら良いのでしょうね?
# 知り合いがMSN mailでアカウント乗っ取られたときは打つ手なしでした。
# MSNは「裁判所の命令がないと開示できない」としか言わないし、(当然だけど)
# 犯人グループが海外だと警察はやる気無しで、告訴とか嫌がって
# せいぜいMSNの連絡先を調べるだけ。年寄りの障害者とかだとそんな状況で
# 裁判所行くとか無理で。
占い師の才能 (スコア:1)
何度失敗したか、何を手がかりにしたのか。
秘密の問題と答えは本人と当人しか知らないですが・・・
自分が思うに、直接見知った仲でもないのに3200という数字は、かなりの正答数だと思います。
Facebookで知った情報、googleで調べたこと、人物の想像や推理。
それぐらいしか手がかりは無いと思うけど、これだけの数の正答率を導き出せるのは、才能と言っていいと思います。
#イヴが食べた赤くて甘い果物は?
#壮大なストーリ。空転するアイディア。
個人情報とかプライバシーっていうけどさ (スコア:0)
Re:個人情報とかプライバシーっていうけどさ (スコア:3, すばらしい洞察)
類推されにくいプライバシーにしてみる (スコア:2)
And now for something completely different...
Re:類推されにくいプライバシーにしてみる (スコア:1, おもしろおかしい)
> あなたが高校のときに告白された人数は?
せいぜい400回程度の総当りで破れてしまうものはあまりに筋が悪くありませんか。
> 席替えで隣になった子からあなたの隣で良かったと言われた回数は?
こっちはもっとひどい。これ [srad.jp]を笑えませんな。秘密の質問は内容を吟味する必要があるとしても、自由入力にするのは単に責任を丸投げしているだけでセキュリティの改善につながるとは限らなそう。
セミヌードの写真 (スコア:0)
セミヌードの写真より知られたくない秘密を答えにすりゃえんでないの?
セミヌードの写真をGoogleだYahooだに預けることに関しては抵抗ないのだから、
秘密の質問を私的な事にしないってのはよくわからんなあ。
Re:セミヌードの写真 (スコア:2)
たいてい秘密の質問って、サービス側が定めたいくつかの質問からプルダウンで選ぶ感じですからな・・・
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re:セミヌードの写真 (スコア:2, おもしろおかしい)
その場合、質問から想像もつかないような答えを記入します。
そしてパスワードを忘れた時に困ってしまいます。
なぜなら、想像もつかないような答えなので忘れてしまっているのです。
Re:セミヌードの写真 (スコア:1, おもしろおかしい)
Q すきなペットは? A 犬
あ、質問から想像もつかないような答えにしとかないとまずいかな、面倒くさいな
質問のほうを1個ずらそう
Q すきな食べ物は? A 犬
これでよし・・・・あっ
Re:秘密の質問に正直に答える利用者がどうかしてる (スコア:1)
Q 好きな食べ物は?
A skntbmnh?
みたいに、自分の脳内だけで質問文を変換できるようにすると
管理不要(重要)かつセキュアになるかもですね。
よくあるパターン (スコア:0)
調べられるからね。
やはり設定しない、が正解かな?
Re:よくあるパターン (スコア:3, おもしろおかしい)
Q1:飼っているペットの名前
A1:奥さんの旧姓
Q2:母親の旧姓
A1:飼っているペット
アカウントよりも家庭の危機。
Re:よくあるパターン (スコア:1, おもしろおかしい)
ふっ、いくら念を入れて俺を調べったって、絶対にわかりっこあるもんか!
あれ、おかしいな。勝ったはずなのに、なんで涙が・・・。
・・・誰か僕と結婚してください(涙)
Re: (スコア:0)
女性遍歴が3桁だったりすると誰の名前で登録したかわかんなくなりました
Re: (スコア:0)
4半期ごとに嫁が数名ずつ出来るので、たぶん、そろそろ3桁は行っているかな。
あずにゃん、初春、えーとそれから
Re:よくあるパターン (スコア:1)
次元の壁をも越える人が、法律に縛られるはずもない。
ソーシャルハッキング (スコア:0)
なんつって。
あの子のほくろの位置をポチる生体認証まだかなー (スコア:0)
パスワード再設定の際の「秘密の質問」は推測可能 -- 調査で明らかに [zdnet.com]
アカウントが50超えたら覚える気なんてうせましたので、
パスワードはメモしてサイドキャビネットの中に入れて管理してます。
外出先でもパスワードが利用できるように
そのメモをデジカメで撮影して持ち歩いています
Flickrってプライベートモードとかありますかね、
アップロードしちゃえばFlickrのパスワード覚えるだけで楽になりそう!
Re: (スコア:0)
Re:ところで! (スコア:1)
昆虫好きなんじゃないですか?
らじゃったのだ
Re:ところで! (スコア:1)
「全体に公開」
「友人に公開」(あるいは「友人の友人まで公開」)
「公開する友人を選ぶ」
といった選択肢があるけど、この「公開する友人を選ぶ」フォトアルバムには、
とんでもない写真が入っている可能性があるということなのでしょうね。
たとえパスワードで守られていたとしても、そんなデータをオンラインに置くことが理解できん。