パスワードを忘れた? アカウント作成
11798871 story
セキュリティ

OCNがパスワードを一定期間変更していない一部ユーザーに対しログイン制限を実施 47

ストーリー by hylom
これをやっても結局同じパスワードを使い回す気がする 部門より
あるAnonymous Coward 曰く、

OCNが、パスワードを一定期間変更していないユーザに対し一時的なログイン制限を行ったことが話題になっている(INTERNET WatchTogetterまとめ)。

OCNは11月にこれに関する告知を行っていた。INTERNET Watchの記事によると、「一定期間とは一般的に1~3カ月、今回は6カ月を目安」だという

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 今まで堅牢なシステムだったのに、ついに裏でパスワードとかが漏れちゃったのかな?
    --
    -- 哀れな日本人専用(sorry Japanese only) --
    • by Anonymous Coward on 2014年12月08日 12時51分 (#2724081)

      お忘れですか?

      OCNでの不正ログイン、パスワード流出の原因はロジテック製ルータの脆弱性
      http://www.atmarkit.co.jp/ait/articles/1308/20/news073.html [atmarkit.co.jp]

      OCN認証ID・パスワードの不正利用防止に向けた
        セキュリティ上の脆弱性があるブロードバンドルータの
      利用調査および対策の実施について
      http://www.ntt.com/release/monthNEWS/detail/20130820.html [ntt.com]

      OCN、PPPoEなどに使う接続認証パスワード756件が不正に変更される攻撃
      http://internet.watch.impress.co.jp/docs/news/20130626_605345.html [impress.co.jp]

      別件で、盗まれたアカウントによる接続で著作権侵害の違法配信がされたとか、クラッキングに利用されたとかいう事件もあったそうですから、無理もない。

      親コメント
      • by Anonymous Coward on 2014年12月08日 13時29分 (#2724118)

        今回のこれは、記事中

        なお、一連の不正ログインの対象となった「OCN認証ID・パスワード」は、PPPoE接続などの際に必要なIDとパスワードであり、Webサービスへのログインなどに利用する「OCN ID」とは異なる。

        攻撃の対象となったOCN認証ID・パスワードは、OCN会員がPPPoEやダイヤルアップなどでインターネットに接続する際に必要となるもので、ウェブメールや会員のマイページへのログインなどに普段使用するログインID・パスワードとは別のものだ。

        の「異なる」「別のもの」っていう「OCN ID」「ウェブメールや会員のマイページへのログインなど」につかうほうのパスワードです。
        まあ、こっちもパスワードリスト攻撃受けてますが。
        #パスワードリスト攻撃の対策として一定期間での変更がどの程度有効かは知らない。

        親コメント
      • by Anonymous Coward

        要するに、OCNとしては、一部のユーザとはいえ、認証ID・パスワードが漏洩していて、不正利用される危険性があるのが明白なので、パスワードを一定期間変更していないユーザに対しアクセス制限をして、本人確認のうえで、パスワード変更を強要したってことで、OK?

    • by Anonymous Coward

      この間逮捕された、不正アクセス用の中継サーバの関係で、いっぱいOCNのアカウントが使われてたんでしょ。

  • by nemui4 (20313) on 2014年12月08日 13時04分 (#2724091) 日記

    >INTERNET Watchの記事によると、「一定期間とは一般的に1~3カ月、今回は6カ月を目安」だという

    これはどこの「一般」なんだろう?

    自分が利用していて一定期間ごとにパスワード変更を求められるサイトでは最短で90日、多くは一年で一ヶ月や三か月というところはなかった
    一ヶ月ってのはありそうだけどめんどくさそう、90日ルールのところも非常にめんどくさい。
    なんとなく2段階認証のほうが楽で安全じゃないかと思ってしまう。
    #アレげ民は一般じゃない・・・

    • by Anonymous Coward

      90日≒3か月、な気が

      # だいたいそれくらいでパスワード変更を要求されることが多い気がする。
      # 自分が利用している範囲で 1年ってのは(今のところ)記憶に無い

      • by nemui4 (20313) on 2014年12月08日 13時36分 (#2724126) 日記

        素で間違えた・・・orz.
        "90日"の"90"でしか認識してないな>じぶん。
        ということはそこは一般的だったのか。

        一週間前くらいになると毎日メールが飛んできてうっとうしい。
        毎月ならパスワードの頭か最後に月名足せば楽だけど、そうもいかないと悩んでました。

        親コメント
    • by Anonymous Coward

      > なんとなく2段階認証のほうが楽で安全じゃないかと思ってしまう。

      2段階認証って、あれですか?
      通常のパスワード認証した後に、誕生日を入力するとか、あらかじめ設定してあるパスコードを入力するってやつ。

      #クソだ。

      2要素認証とか言われるものならば良いかもしれない。

  • by help (36022) on 2014年12月08日 15時20分 (#2724200) 日記
    ルータを初期化しちゃったからパスワードを要求されたが、変更した後というか今のパスワード教えてくれという電話がいっぱり入りそうな予感。
    今すぐ知りたいという人にはどう対応するんだろう?

    ONU とか DSL モデムとかにくっついている MAC アドレスからルータのメーカがわかりますから、それを使って最初にロジテックルータを使っている人に依頼をだすのがいいんじゃないかなーと思った次第。
    • >ルータを初期化しちゃったからパスワードを要求されたが、変更した後というか
      >今のパスワード教えてくれという電話がいっぱり入りそうな予感。
      >今すぐ知りたいという人にはどう対応するんだろう?
      そのIDで聞きますか(笑)。
      # 人のことは言えない

      今回はウェブサービスのためのパスワードということですが、
      インターネット接続用のパスワードも定期的に変更、という風潮に
      なれば、確かにサポートが忙しくなりそうです。
      設定した(つもりの)パスワードが通らないとか。
      電話でパスワードは教えられないでしょうから、ウェブで本人確認して……?
      秘密の質問とかで本人確認するんでしょうか。
      (この時のネット接続には、新規契約やこのような時のための専用のID・
      パスワードを使うんでしょう)

      --
      -- う~ん、バッドノウハウ?
      親コメント
  • まいかい、事前連絡無しにやらかしてくれるので。昨年のメールのデタラメはひどかった。話にならないレベル。毎年年末にデタラメやるので、今回もその文脈かと。

    #OCNのホームページなんて見ません。紙で通知をよこせと前回も怒鳴って、一応紙での連絡横したんですけど、全然懲りてないな。今回もメール一通来ていません。

    • by Anonymous Coward

      今度は連絡を縦にしてみては?

      # そういえば声優さんのツイートを見て縦になる日まであと半月ですね。

  • by Anonymous Coward on 2014年12月08日 12時20分 (#2724064)

    ワンタイムパスワードとか、ユーザ側のパスワード管理が楽になる巷のツールにOCN側は対応するべきだろう

  • by Anonymous Coward on 2014年12月08日 12時28分 (#2724069)

    「今月のパスワード」的に変えられるのか、いったん使ったパスワードは二度と使えないのかわからんと困るなぁ。
    hogehoge01→hogehoge02→hogehoge03→hogehoge04→hogehoge05→hogehoge06→hogehoge07→hogehoge08→hogehoge09→hogehoge10→hogehoge11→hogehoge12→以下くり返しとかになりそうな気もする

    • by Anonymous Coward

      年月をパスワードにすればいいのかな?
      Dec,2014
      大文字、小文字、記号、数字、全部含んで8文字なので文句はないだろう。

    • by Anonymous Coward

      2度と使えないなら
      hoge201412 > hoge201501 >
      になるね

  • by Anonymous Coward on 2014年12月08日 12時34分 (#2724074)

    OCNから発行されたパスワードの方がまだ安全なのでは

    • by Anonymous Coward

      いえいえ、ロジテック製ルータの脆弱性とかで、認証ID・パスワードが漏洩していますから、1年以上パスワードを変更していないとかだと、いつアカウントを乗っ取られてもおかしくないからでしょうね。ルータから漏れたことが問題なので、OCNから発行されたパスワードも例外ではないんです。

      • by Anonymous Coward

        つまり、パスワードを変更しても、新しいパスワードがまた漏洩するわけですね。

        • by Anonymous Coward

          つまり、ルーターを定期的に変更すればいいわけですね。

  • by Anonymous Coward on 2014年12月08日 12時42分 (#2724077)

    特に非IT系では外部委託業者しかインターネットの設定が出来ないという職場は多いのでは
    このようなことで接続が切れて仕事がストップした場合にどうするんでしょう

    • by Anonymous Coward

      その職場の人が対応するのでしょ。1か月前に告知していたのだから対応する時間はあったはず。

    • by Anonymous Coward
      そんなの運用がおかしいってだけでしょう。
      必要なら手順化すりゃいい。
      • by Anonymous Coward

        その程度の運用しか出来ないユーザーにも売り付けてるんだから、
        自己責任の一言で済まされる問題じゃないだろう

    • by Anonymous Coward

      今回のはwebでのログインの話で、メールや接続の制限がなされるって話じゃないです。

      • by Anonymous Coward

        OCNは
        ログイン ID=メールアドレス
        ログインパスワード=メールのパスワード
        という仕様なんですが...

  • by Anonymous Coward on 2014年12月08日 13時07分 (#2724095)

    パスワード漏洩の責任を顧客側に向けさせる工作にしか思えん
    誰か定期的なパスワード変更の無意味さを論理的に証明してくれー

    • by Anonymous Coward

      今回のOCNの場合、アカウント情報が既にもれてしまった後なので、漏洩したけれどまだ不正利用されていないというアカウントに対して、対策をとるためには、一定期間内にパスワードを変更していないものすべてを危険とみなす必要があったのでしょうね。パスワードを変更することで、漏洩したパスワードを無効にしようという話だから、決して無意味ではないんです。再発する危険性を考えれば、定期的なパスワード変更を要求するのも一理あるのです。

      • by Anonymous Coward

        1回だけやりゃいいべ?

    • by Anonymous Coward

      論理的に説明すると定期的にパスワードを変更すると安全になります。

      • by Anonymous Coward

        変更前と変更後の安全度(危険度、なんでもいいです指標となる数字)の違いはどれぐらいなのでしょうか?

        ※シートベルトをつけていない状態とつけている状態での差みたいに明確な違いがあると嬉しいかな。

        • by Anonymous Coward

          パスワードを変更するたびに安全度が三倍になります。

      • by Anonymous Coward

        論理的に説明すると、定期的なパスワード変更は
        ・ID/PASSの漏えい・解析による不正アクセス成功の形跡がパスワードの定期的な変更の有無にかかわらず定期的に確認される
        場合にのみ、「変更後しばらくは不正アクセスによるデータの閲覧・盗難を防げそう」という明確な効果があります。
        ただ、その場合「いや変えても突破されるなら根本的に無意味だろう」「他の問題を解決しろバカ」という突っ込みが入りますが。

        逆に言えば
        ・ID/PASSが漏えい・解析されやすい状況
        ・不正アクセス成功の形跡を確認できない
        この二つの条件がそろうと、『「万が一穴になっていてもしばらくしたら勝手にふさ

  • by Anonymous Coward on 2014年12月08日 14時23分 (#2724168)

    自分はまだこれの被害にはあってないが、
    そんなことされたら他のISPに乗り換える。

    他も追随するなら泣き寝入りするしかないが。

    • by Anonymous Coward

      「うわーウチのルーターは件のロジテック製だったやべぇ」って自主的にパスワード変更できる人ばかりであれば、今回みたいな事しなくても良かったんだとは思いますけどね。

      • by Anonymous Coward

        そういう人ばかりならば、今回の対応だって何ら話題にならなかったのではないでしょうか。
        そうでないから話題になっているのでは。

  • by Anonymous Coward on 2014年12月08日 22時41分 (#2724546)

    そもそもが自分らの落ち度ならユーザーに余計な手間かけさせんじゃねえよって話

    そもそも定期的にパスワード変更ってどれだけ意味あるの?
    変更したせいでログインされる可能性だってあるんじゃないのか
    OCN専用で自分でも覚えられないランダムで最長の文字列をパスワードにしてるけど控えの封印といて書き直すの面倒なんだよ

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...