パスワードを忘れた? アカウント作成
10766411 story
英国

英大手ECサイトの66%が単純なパスワードの使用を許可している 63

ストーリー by headless
単純 部門より
Dashlaneが英国の大手ECサイト100件を対象に行ったパスワードポリシーの調査によると、70%のサイトで「password」というパスワードが許可され、「123456」も60%のサイトで許可されていたそうだ(Dashlaneのブログ記事調査結果: PDFThe Registerの記事本家/.)。

単純なパスワードの使用を認めるサイトは66%、アルファベットと数字の組み合わせを要求しないサイトは69%にのぼる。Amazon UKやTescoを含む66%のサイトでは間違ったパスワードを10回入力してもブロックなどの処理が行われず、Body ShopやClarksを含む25%のサイトではパスワードリセット/変更時の電子メールでパスワードをそのまま記載していたとのこと。また、サインアップ時に強度の高いパスワードを作成するためのヒントを表示するサイトは40%、パスワードの強度メーターを表示するサイトは14%しかなかったそうだ。パスワードポリシーについて各項目の安全性から算出したスコア(-100~+100)では、Appleが+100を獲得して1位。最下位はUrban Outfittersの-60だったとのことだ。

ちなみに、Dashlaneでは米仏のECサイトについても同様の調査を今年行っている。フランスのECサイトでは87%が単純なパスワードの使用を認め、パスワードを10回誤入力してもブロックしないサイトが84%など、全項目で米英よりも低く、米国は「4回のパスワード誤入力でログインをブロック」と「現在のパスワードを新しいパスワードとして設定することを拒否」の2項目を除いて英国よりも安全性が高いといった結果になったそうだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ちょいと値段や在庫調べるために登録する位なら、偽情報、捨てパスワードで充分なのよ。

    充分複雑かつ覚えておけるパスワードなんて限られているし、うっかり他で使っているパスワードを入力してしまう事も多々ある。
    たまに使うサイトで、自分の設定するパスワードはこれとこれとこれのどれかだけど、どれだったっけな、と一通り試してしまうことは、誰にでも身に覚えがあるのでは?

    であれば、さほど重要でないサービスには捨てパスワードを使っておいた方が安全。

    • おもいっきし的外れな指摘だな。

      >さほど重要でないサービスには捨てパスワードを使っておいた方が安全。
      クレジットカード番号を入力するなどの理由により、
      ECサイトは「さほど重要でないサービス」ではない。

      >ちょいと値段や在庫調べるために登録する位なら、
      としたら、そんなひやかし目的の奴らは客じゃない。
      そんな奴らのためのサービスなど考慮する必要はありません。

      #というか、値段や在庫調べるくらいでユーザー登録必要か?
      #中にはそういうサイトもあるかもしれんけどさ。

      親コメント
      • by Anonymous Coward

        まあ、中小のECなら、在庫問い合わせに登録が必要なものはありますよ。
        また、Kindleなどで無料お試し版をダウンロードするにはユーザ登録が必要ですし、Google Playでは無料動画の視聴にカード登録が必要です。
        TSUTAYAやユニクロなどは、リアル店舗でのクーポン取得には登録が必要です。
        スマホが普及してから、囲い込みのためか、買い物をしないでもユーザー登録が必要なものって増えた印象があります。

      • by Anonymous Coward

        クレジットカードは保険効くし大した事ないなぁと思ったけど、
        某楽天で不正利用されたときに、
        カード再発行→変更後の番号をあちこち再登録×たくさん
        ってのはそれなりに疲れました。

      • by Anonymous Coward

        中小の例えば同人グッズ制作のサイトなんかではよく見かける。
        会員登録しなきゃ値段も在庫も場合によっちゃ見積りすらわからんので、発注前の下調べで捨てアドと捨てパスで登録したなぁ。
        利用する時はちゃんとしたアカウントをとり直す感じで使ってたよ。

        他には美容院とかもまずは登録してから…って感じだったかな。
        料金メニューを公開すると価格競争に巻き込まれるから警戒してんのかね。

    • by Anonymous Coward
      ECサイトで、重要ではないがアカウント登録まではしておく程度に使用したいサービスって何?
      • by Anonymous Coward

        代引きで購入

      • by Anonymous Coward

        B to Bなサイトは大半が登録必須

      • by Anonymous Coward

        ポイントだけ貰っておくとき

    • by Anonymous Coward

      パスワードの管理責任がユーザー側にある事を規約に明示すれば、運営側で縛るようなことでもない気がしますね。
      まあ、警告があった方がサイトとしての品質は高い印象は受けますが。

    • by Anonymous Coward

      「さほど重要でないサービス」とやらに「充分複雑かつ覚えておけるパスワード」なんてものを使おうってのが間違いでしょ。
      つか、「充分複雑かつ覚えておけるパスワード」なのに使ってるサービスを忘れるとか意味じゃいじゃん。覚えてない。

      大事なら紙にメモって財布にでも入れとけ
      大事でないならパスワード管理ツールでおk

      • by Anonymous Coward

        パスワード管理ツールよりも紙にメモって財布に入れる方が安全というのは斬新な主張ですね。

        • by Anonymous Coward

          パスワード管理ツールはパスワードだけじゃなくてサイト、IDも含んだ完全な情報を持つって点で懸念がある。
          また、狙われる目的がパスワード狙いだし、バグとかウイルスとか、あと消失の可能性とかもあるし。

          財布は落とすとかすられるとか、そういう点では同じ、もしくはより危険とは言えるが、パスワード狙いではないから見向きされる可能性は低い。
          あと、完全な情報を持たせているわけではないので直ちに役立つものではない。その点は工夫していただきたい。

          あと、実は他にも方法があるのと、相互に補完しあっている部分もある。
          大事ではないパスワードの話だったから詳しくは書かなかったし、そもそも書く気はあまりないが、大事なパスワードって流出・悪用を懸念するってのもあるが、紛失の方の懸念も大きくないか?
          なにか一つの方法(記憶、パスワード管理ツール、メモ)だけに頼るのは不安じゃないのだろうか。

          まあ、元のコメントが不正確で斬新というのは認める。

          • by Anonymous Coward

            サイトとIDは丸暗記しろとか無理。

  • by Anonymous Coward on 2014年03月15日 17時06分 (#2563731)

    何回か入力するとパスワードをロックされるサイトがあるんだが
    ここも普通にパスワードを入力間違いしている間は「パスワードとIDが不明」と言う形で表示される。
    ここで、IDが間違っていると何度やってもアクセスがロックされない。
    一方で、アカウントが合っているがパスワードが間違っている状態で何回か繰り返していると「アカウントがロックされました。ロックを解除するにはこちら」と言うリンクが表示される仕様のサイトがある。

    これでまずIDが正しいと言う事は分かってしまう。
    次にアカウントロックを解除するんだが、方式は登録メールアドレスに解除用リンクが送られてきて、それで認証すると言うタイプ。

    しかし、ID入力画面には「IDわからない場合はこちら」と言うあって、ID=メールアドレスなのだが、そこを踏むと秘密の質問と、いくつか個人情報(郵便番号、氏名、生年月日)を入力するとメールアドレスを再設定できてしまう。この時、メールアドレス変更通知は新しいアドレスだけにしか送られない。パスワードリセットの仕組みもオーソドックスな、メールでリセット用のアドレスが送られてクリックするタイプ。

    これを組み合わせると、ほぼ公開情報だけでアカウントを乗っ取れるんだよなこれ。
    適当な個人情報リストを使ってbotでアクセスし、有効なIDを見つける。
    後は個別にパスワードリセットして回ればアカウントが乗っ取れてしまう。
    パスワードは数字を組み合わせてねとかかかれているし、古いパスワードやクレジットカードの番号は見ることができないようになっているが、住所の変更などは普通にできてしまうし、これじゃ無駄だ。

    なにかのECパッケージを使っているのか、少なくともこの攻撃方法が通用するサイト2つ知ってる。
    探せばもっとあるのでは。

    せめてパスワードがロックされた時、画面に「アカウントはロックされました」とか出さずにこっそり登録メルアドに「あんたのアカウントで何度もアクセス試みてるのがいるけど本人?」って送るとか、IDがあっているかどうかに関わらず、一定回数入力されたらロックされる仕様にするとか、なんとかならんのかな。

    一つ一つの手法は正しくて推奨されるものでも、組み合わせたら全然だめってサイト結構ある様な気がする。
    なんかきちんとしたガイドラインがないのだろうか。

    • by Anonymous Coward

      よく読んでもたいした危険性が感じられないのだが

      • by Anonymous Coward

        ここで

        ・秘密の質問は何パターンしか無い
        ・クラックを仕掛ける側の人間は、身近な人(例えば、嫌な同僚を罠にはめたいといったケース)
        ・パスワードは教えてくれる訳も無いが、干支や誕生日などは簡単に手に入る
          パスワードなどと違って多くの人はこの辺りの情報をセキュリティに関わる情報だと認識していない

        と想像力を働かせてみましょう

        大規模なセキュリティホールによるものは被害規模が大きいから注目を集めるが
        実害のあるクラッキング被害は身近な人が仕掛けるケースが一番多い

        こういうサイトに出会ったら使わないという選択しか防護する手段が無い

        おそらくECサイトパッケージで、いくつかオプションで有効に出来るセキュリティ機能やIDリセット機能があり
        通常はそれぞれいくつかしか選ばないところを、全部有効にしてしまったために発生した問題

        • by Anonymous Coward

          あー後付ね。でも印象はまったく変わらず。

          あいかわらず文章の割に内容が薄いね

    • by Anonymous Coward

      ひとことでいえば「秘密の質問が危険」ってことですよね。

  • by Anonymous Coward on 2014年03月15日 18時47分 (#2563780)

    スマホが普及し始めてからパスワードに使用できる文字が
    英数字であるサイトが増えた気がする。
    2-3年ほど前リニューアルした某オンライン書店では
    リニューアル前は英数記号が使用できたのに、リニューアル後は英数字に
    なってしまった。英数字だけ使いたい奴は勝手にすればいいけど、
    運営側が使用できる文字をむやみに制限するのはどうかと思う。

    • スマホ関係無く、PC専用でも記号を混ぜると工数が多少増えるんだよ。

      十分な長ささえあれば記号を混ぜても安全性は十分確保できるんだから、
      まともな開発者は記号を入れない方を選択すると思う。

      #むしろ安易なパスワードを設定するユーザーの方がよほど問題.

      親コメント
    • by Anonymous Coward

      パスワードはシステム的に、 利用できる文字に制限かけない方がブルートフォースの件数が増えるので制限しないほうがいい。
      でもってパスワードなんて、 利用している文字の複雑さ(種類)よりも長さの方が重要でしょう。
      変な短縮化ルールでパスワードを短くするとか、変換かけるのは一昔前の都市伝説じゃないかと思う。

      パスワードの設定はあくまで自己責任にして、 変なルールを強要してほしくないものです。
      めんどくさすぎる。

      入力可能な文字は最低でも20文字くらい許容してほしい。
      どうせ、 ハッシュしか保存しないのに、なんて8文字しか入力できないサイトが未だに増えるのか
      不思議でならない。
      文字なんて、 2-3日あれば、 ハッシュ値の辞書出来ちゃうよ。
      まぁ独自の暗号化をして、 可逆なものになっているのなら作った辞書は意味なくなるけれど。。。

      • ブラウザと、サーバ側アプリケーション(か、フレームワーク)の実装の組み合わせによって、
        記号はURLエンコードされてたりされてなかったりがあってうまく合わないケースがでてきちゃう。
        それで余分な問い合わせが発生しないよう、禁止しているケースがあるのでしょう。

        親コメント
    • by Anonymous Coward

      > スマホが普及し始めてからパスワードに使用できる文字が英数字であるサイトが増えた気がする。
      気のせいな気がする。

  • by Anonymous Coward on 2014年03月15日 20時12分 (#2563813)

    パスワードの時代はいつ終わるのかというのも気になるわけで。

    • by Anonymous Coward

      生体認証とかユーザーIDの代替となる技術は複数あるけれど、 パスワードの代替となる技術はほとんど存在しませんからね。
      この先もしばらくは続くんじゃないかなと。

      本人ですら忘れたら認証出来ない/拒否されるのがパスワードの特性であり、セキュリティを維持するためのの特色です。

  • by Anonymous Coward on 2014年03月15日 16時56分 (#2563727)

    iTunesでどんだけやられているんだっけ?
    他サイトとの使い回しとか、フィッシングで抜かれたものだけ??

  • by Anonymous Coward on 2014年03月15日 19時34分 (#2563800)

    ふだんはほぼ同じパスワードを使いまわしていて、
    Googleなら****g*****、
    Amazonなら****a*****、
    のように、5文字めだけ、そのサービスの頭文字を当てはめて、完全な使いまわしを避けるようにしてるのだけど、昨日Paypalが以前使っていた簡単すぎるパスワードのままだったのを思い出して、現在の方式のパスワードに変更しようとしたら、パスワードが「弱」判定されて変更できなかった。

    大文字、小文字、記号、数字を全部使って、他のサイトでは「強」判定されるパスワードなんだけど。

    Paypalだけ独自のパスワードにしても、たまにしか使わないから絶対忘れるだろうし、かといって以前の弱いパスワードじゃ不安だし、面倒だから昨日つかった分が引き落とされたらPaypalのアカウントは削除することにした。

    • 5文字目が"g","a"なら無意味て"p"なら有意になる単語かフレーズ・・・
      クイズ問題に良さげ。

      #ぱっと思いつかない

      親コメント
    • by Anonymous Coward

      よし、5文字目だけ総当たりにするよう、ツールを修正しよう!

    • by Anonymous Coward

      Paypalで大文字、小文字、記号、数字を全部使って強固なパスワードに設定してからPaypal Hereのアプリをインストールしてログインしようとしたら「General Expeption Error」のポップアップが………

      ※サポートに報告済。

      こないだのリテールテックでPaypal顔パス認証するためにチェックインしてみましたが、街中でパスワード入れる方が怖い

    • by Anonymous Coward

      あまり自分のパスワード生成法は公開しない方が・・・

      ちなみに、自分は過去やってたのは

      *****@00GGL00

      という感じだった。文字列の後に@に数値+各サービスの略称+数値。で数値で重要度を変えてる。
      今ではもうやめてパスワード管理ソフトに全部任せて50文字のランダム文字列だわ。

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...