OCNがパスワードを一定期間変更していない一部ユーザーに対しログイン制限を実施 47
ストーリー by hylom
これをやっても結局同じパスワードを使い回す気がする 部門より
これをやっても結局同じパスワードを使い回す気がする 部門より
あるAnonymous Coward 曰く、
OCNが、パスワードを一定期間変更していないユーザに対し一時的なログイン制限を行ったことが話題になっている(INTERNET Watch、Togetterまとめ)。
OCNは11月にこれに関する告知を行っていた。INTERNET Watchの記事によると、「一定期間とは一般的に1~3カ月、今回は6カ月を目安」だという
ひそかに漏えいでもしたのかな? (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:ひそかに漏えいでもしたのかな? (スコア:2, 参考になる)
お忘れですか?
OCNでの不正ログイン、パスワード流出の原因はロジテック製ルータの脆弱性
http://www.atmarkit.co.jp/ait/articles/1308/20/news073.html [atmarkit.co.jp]
OCN認証ID・パスワードの不正利用防止に向けた
セキュリティ上の脆弱性があるブロードバンドルータの
利用調査および対策の実施について
http://www.ntt.com/release/monthNEWS/detail/20130820.html [ntt.com]
OCN、PPPoEなどに使う接続認証パスワード756件が不正に変更される攻撃
http://internet.watch.impress.co.jp/docs/news/20130626_605345.html [impress.co.jp]
別件で、盗まれたアカウントによる接続で著作権侵害の違法配信がされたとか、クラッキングに利用されたとかいう事件もあったそうですから、無理もない。
Re:ひそかに漏えいでもしたのかな? (スコア:1)
今回のこれは、記事中
なお、一連の不正ログインの対象となった「OCN認証ID・パスワード」は、PPPoE接続などの際に必要なIDとパスワードであり、Webサービスへのログインなどに利用する「OCN ID」とは異なる。
攻撃の対象となったOCN認証ID・パスワードは、OCN会員がPPPoEやダイヤルアップなどでインターネットに接続する際に必要となるもので、ウェブメールや会員のマイページへのログインなどに普段使用するログインID・パスワードとは別のものだ。
の「異なる」「別のもの」っていう「OCN ID」「ウェブメールや会員のマイページへのログインなど」につかうほうのパスワードです。
まあ、こっちもパスワードリスト攻撃受けてますが。
#パスワードリスト攻撃の対策として一定期間での変更がどの程度有効かは知らない。
Re:ひそかに漏えいでもしたのかな? (スコア:2, 参考になる)
そうおっしゃるなら、こっちも貼っとこう。上で貼り忘れた。
OCN IDでなりすましによる不正利用が発覚、景品交換などに悪用される
http://itpro.nikkeibp.co.jp/atcl/news/14/073000279/ [nikkeibp.co.jp]
Re: (スコア:0)
よくありがちなのは、初期状態だと、接続認証パスワードとメールのパスワードが同一だったりしますからね。
Re: (スコア:0)
要するに、OCNとしては、一部のユーザとはいえ、認証ID・パスワードが漏洩していて、不正利用される危険性があるのが明白なので、パスワードを一定期間変更していないユーザに対しアクセス制限をして、本人確認のうえで、パスワード変更を強要したってことで、OK?
Re: (スコア:0)
この間逮捕された、不正アクセス用の中継サーバの関係で、いっぱいOCNのアカウントが使われてたんでしょ。
一般的 (スコア:1)
>INTERNET Watchの記事によると、「一定期間とは一般的に1~3カ月、今回は6カ月を目安」だという
これはどこの「一般」なんだろう?
自分が利用していて一定期間ごとにパスワード変更を求められるサイトでは最短で90日、多くは一年で一ヶ月や三か月というところはなかった
一ヶ月ってのはありそうだけどめんどくさそう、90日ルールのところも非常にめんどくさい。
なんとなく2段階認証のほうが楽で安全じゃないかと思ってしまう。
#アレげ民は一般じゃない・・・
Re: (スコア:0)
90日≒3か月、な気が
# だいたいそれくらいでパスワード変更を要求されることが多い気がする。
# 自分が利用している範囲で 1年ってのは(今のところ)記憶に無い
Re:一般的 (スコア:1)
素で間違えた・・・orz.
"90日"の"90"でしか認識してないな>じぶん。
ということはそこは一般的だったのか。
一週間前くらいになると毎日メールが飛んできてうっとうしい。
毎月ならパスワードの頭か最後に月名足せば楽だけど、そうもいかないと悩んでました。
Re: (スコア:0)
> なんとなく2段階認証のほうが楽で安全じゃないかと思ってしまう。
2段階認証って、あれですか?
通常のパスワード認証した後に、誕生日を入力するとか、あらかじめ設定してあるパスコードを入力するってやつ。
#クソだ。
2要素認証とか言われるものならば良いかもしれない。
Re:一般的 (スコア:1)
普段使わない未登録端末からアクセスした場合。
->ユーザ名/パスワードで認証(一段認証)
->登録済みの携帯(スマフォ)にメッセンジャーでPINを受信
->PINコードを入力(二段認証)
めんどくさいけど慣れた。
>2要素認証とか言われるものならば良いかもしれない。
それは知らない、簡単?
Re: (スコア:0)
残念ながら Googleが2 段階認証プロセスについて [google.com]って言ってましてね(google 二要素認証でこれがヒット)
アップルもApple ID の 2 ステップ確認についてよくお問い合わせいただく質問 (FAQ) [apple.com]なのでボンヤリ訳すと2段階になってしまうという
パスワード変更すると (スコア:1)
今すぐ知りたいという人にはどう対応するんだろう?
ONU とか DSL モデムとかにくっついている MAC アドレスからルータのメーカがわかりますから、それを使って最初にロジテックルータを使っている人に依頼をだすのがいいんじゃないかなーと思った次第。
Re:パスワード変更すると (スコア:1)
>ルータを初期化しちゃったからパスワードを要求されたが、変更した後というか
>今のパスワード教えてくれという電話がいっぱり入りそうな予感。
>今すぐ知りたいという人にはどう対応するんだろう?
そのIDで聞きますか(笑)。
# 人のことは言えない
今回はウェブサービスのためのパスワードということですが、
インターネット接続用のパスワードも定期的に変更、という風潮に
なれば、確かにサポートが忙しくなりそうです。
設定した(つもりの)パスワードが通らないとか。
電話でパスワードは教えられないでしょうから、ウェブで本人確認して……?
秘密の質問とかで本人確認するんでしょうか。
(この時のネット接続には、新規契約やこのような時のための専用のID・
パスワードを使うんでしょう)
-- う~ん、バッドノウハウ?
OCN はサービス0点を一貫しているので (スコア:1)
#OCNのホームページなんて見ません。紙で通知をよこせと前回も怒鳴って、一応紙での連絡横したんですけど、全然懲りてないな。今回もメール一通来ていません。
Re: (スコア:0)
今度は連絡を縦にしてみては?
# そういえば声優さんのツイートを見て縦になる日まであと半月ですね。
ある意味身勝手な要求なのだから (スコア:0)
ワンタイムパスワードとか、ユーザ側のパスワード管理が楽になる巷のツールにOCN側は対応するべきだろう
Re: (スコア:0)
ワンタイムパスワードやってますけど [ocn.ne.jp]
Re: (スコア:0)
当然ながら、OCNのメールでは受けられない
この為だけに他所にアカウント作るとか馬鹿げてる
既に持ってる人は良いんだろうけどさ…
Re: (スコア:0)
OCNのメールってOCN IDとパスワードでログインするんじゃないの?
この辺難しいのだけど (スコア:0)
「今月のパスワード」的に変えられるのか、いったん使ったパスワードは二度と使えないのかわからんと困るなぁ。
hogehoge01→hogehoge02→hogehoge03→hogehoge04→hogehoge05→hogehoge06→hogehoge07→hogehoge08→hogehoge09→hogehoge10→hogehoge11→hogehoge12→以下くり返しとかになりそうな気もする
Re: (スコア:0)
年月をパスワードにすればいいのかな?
Dec,2014
大文字、小文字、記号、数字、全部含んで8文字なので文句はないだろう。
Re: (スコア:0)
2度と使えないなら
hoge201412 > hoge201501 >
になるね
より脆弱なパスワードを設定されるだけな気がする (スコア:0)
OCNから発行されたパスワードの方がまだ安全なのでは
Re: (スコア:0)
いえいえ、ロジテック製ルータの脆弱性とかで、認証ID・パスワードが漏洩していますから、1年以上パスワードを変更していないとかだと、いつアカウントを乗っ取られてもおかしくないからでしょうね。ルータから漏れたことが問題なので、OCNから発行されたパスワードも例外ではないんです。
Re: (スコア:0)
つまり、パスワードを変更しても、新しいパスワードがまた漏洩するわけですね。
Re: (スコア:0)
つまり、ルーターを定期的に変更すればいいわけですね。
パスワードを変更出来る人がいない (スコア:0)
特に非IT系では外部委託業者しかインターネットの設定が出来ないという職場は多いのでは
このようなことで接続が切れて仕事がストップした場合にどうするんでしょう
Re: (スコア:0)
その職場の人が対応するのでしょ。1か月前に告知していたのだから対応する時間はあったはず。
Re: (スコア:0)
必要なら手順化すりゃいい。
Re: (スコア:0)
その程度の運用しか出来ないユーザーにも売り付けてるんだから、
自己責任の一言で済まされる問題じゃないだろう
Re: (スコア:0)
今回のはwebでのログインの話で、メールや接続の制限がなされるって話じゃないです。
Re: (スコア:0)
OCNは
ログイン ID=メールアドレス
ログインパスワード=メールのパスワード
という仕様なんですが...
意味があるとは思えない (スコア:0)
パスワード漏洩の責任を顧客側に向けさせる工作にしか思えん
誰か定期的なパスワード変更の無意味さを論理的に証明してくれー
Re: (スコア:0)
今回のOCNの場合、アカウント情報が既にもれてしまった後なので、漏洩したけれどまだ不正利用されていないというアカウントに対して、対策をとるためには、一定期間内にパスワードを変更していないものすべてを危険とみなす必要があったのでしょうね。パスワードを変更することで、漏洩したパスワードを無効にしようという話だから、決して無意味ではないんです。再発する危険性を考えれば、定期的なパスワード変更を要求するのも一理あるのです。
Re: (スコア:0)
1回だけやりゃいいべ?
Re: (スコア:0)
論理的に説明すると定期的にパスワードを変更すると安全になります。
Re: (スコア:0)
変更前と変更後の安全度(危険度、なんでもいいです指標となる数字)の違いはどれぐらいなのでしょうか?
※シートベルトをつけていない状態とつけている状態での差みたいに明確な違いがあると嬉しいかな。
Re: (スコア:0)
パスワードを変更するたびに安全度が三倍になります。
Re: (スコア:0)
論理的に説明すると、定期的なパスワード変更は
・ID/PASSの漏えい・解析による不正アクセス成功の形跡がパスワードの定期的な変更の有無にかかわらず定期的に確認される
場合にのみ、「変更後しばらくは不正アクセスによるデータの閲覧・盗難を防げそう」という明確な効果があります。
ただ、その場合「いや変えても突破されるなら根本的に無意味だろう」「他の問題を解決しろバカ」という突っ込みが入りますが。
逆に言えば
・ID/PASSが漏えい・解析されやすい状況
・不正アクセス成功の形跡を確認できない
この二つの条件がそろうと、『「万が一穴になっていてもしばらくしたら勝手にふさ
Re: (スコア:0)
漏洩から不正使用までの予想時間よりも短い間隔で変更すれば良いって事だな
よし、毎秒変更すれば安全だ!!!
Re:意味があるとは思えない (スコア:1)
他でもやるんだろうか (スコア:0)
自分はまだこれの被害にはあってないが、
そんなことされたら他のISPに乗り換える。
他も追随するなら泣き寝入りするしかないが。
Re: (スコア:0)
「うわーウチのルーターは件のロジテック製だったやべぇ」って自主的にパスワード変更できる人ばかりであれば、今回みたいな事しなくても良かったんだとは思いますけどね。
Re: (スコア:0)
そういう人ばかりならば、今回の対応だって何ら話題にならなかったのではないでしょうか。
そうでないから話題になっているのでは。
自分でケツ拭け (スコア:0)
そもそもが自分らの落ち度ならユーザーに余計な手間かけさせんじゃねえよって話
そもそも定期的にパスワード変更ってどれだけ意味あるの?
変更したせいでログインされる可能性だってあるんじゃないのか
OCN専用で自分でも覚えられないランダムで最長の文字列をパスワードにしてるけど控えの封印といて書き直すの面倒なんだよ