JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される 37
ストーリー by hylom
正しい答えを設定しないように気を付けましょう 部門より
正しい答えを設定しないように気を付けましょう 部門より
あるAnonymous Coward 曰く、
JCBの会員専用WEBサービスMyJCBが、「秘密の合い言葉」いわゆる「秘密の質問」による本人様確認を3月に開始するという。事前の登録は2月3日から始まっている(MyJCBサイト内の説明ページ)。
秘密の合い言葉は、ログイン時に普段と異なる利用環境と判断された場合に必要。「答え」は変更可能だが、「質問」はあらかじめ設定されたものの中から選ぶ方式。「秘密の質問」の危険性は過去に何度も問題になっており、IPAは利用者が「質問」を自由に記述できるようにすることなどをサービス提供者に求めている。
秘密の質問はデタラメを設定すべきという政府 (スコア:2, すばらしい洞察)
契約書類などにおいて、虚偽の事項を記載することは、本来なら、詐欺、偽計業務妨害、私文書偽造などの罪にもなりうる。
それが、秘密の質問ならば、虚偽の事項を記載するのが正しい対応だとされてしまうのは、社会常識に対して倒錯した状態としか思えない。
個々人の自主的対応というものではなく、政府が公に呼びかけるのであれば、それはもう、秘密の質問自体が危険なものであるとして、政府は使用中止を業界に呼びかけるべきだと思う。
Re:秘密の質問はデタラメを設定すべきという政府 (スコア:1)
契約書とパスワード管理を同列で考えるあなたの頭の方が倒錯していると思う。
Re: (スコア:0)
そうじゃないよ。
JCBに限らず、オンライン手続きで「秘密の質問」的なインプットが求められるものの多くが何らかの契約が絡む重要手続きで、「秘密の質問」が本人確認に使われている程度には重要なインプットとされているし、赤の他人による不正入力だったとしても「秘密の質問」で正答が入力された場合はアカウントの管理者側の管理責任になる。
ある意味、パスワードよりも厳重な管理が求められている。
なのにこんなザルザルな運用だから問題視されてる。
Re: (スコア:0)
「運用がザル」なのと「でたらめな回答を推奨するのは倒錯している」ってのとは全然違う話だけど。
本人確認のための機能で、他人が推測しにくい鍵を設定しておくのはまともでしょ。
Re:秘密の質問はデタラメを設定すべきという政府 (スコア:2)
私は「でたらめな回答を推奨するのは倒錯している」とは書いていませんよ。
デタラメな設定をするのが間違いとも、デタラメな設定を政府が推奨するのが間違いとも書いていません。
デタラメな設定をするのはセキュリティ的に正しい対応であると思っていますし、正しい対応である以上、政府がそれを推奨するのも正しいと思っていますよ。
Re:秘密の質問はデタラメを設定すべきという政府 (スコア:1)
パスワードを覚えておくから、秘密の質問なんて使わないから出鱈目入れてロックしてやる。
としていたら、秘密の質問が必須項目になって、ロックアウトされ以降使えない年金システム
の
Re: (スコア:0)
業界が明日から右へ倣えで対応可能ならそうするべきなんでしょうね。
これが経過措置というか緩和措置であればなにもしないよりマシかと。
Re: (スコア:0)
「人を見たら泥棒と思え」ということだよ
ひみつのしつもんの答えは (スコア:1)
ひみつのしつもん用のパスワードにしてる
固定だからセキュリティ的にアレなところもあるけど、答えに迷うよりはマシ
Re: (スコア:0)
秘密の質問にはuuidgenの実行結果を答えて、それを暗号化ストレージ内に控えています。
Re:ひみつのしつもんの答えは (スコア:1)
ちなみにMyJCBはぜんぶ平仮名じゃ無いとダメみたいでした。
Re: (スコア:0)
AEONもひらがな。残念仕様。
好きな(食べ物|飲み物|映画|ドラマ|アニメ) (スコア:0)
数年たつと好きなものが変わってることがありわかんなくなる糞設問
Re: (スコア:0)
問:「飼っている犬猫の名前は?」
Re: (スコア:0)
それ全然秘密じゃないよね
ちなみに私の秘密の質問の答えはロードオブザリングですがロード・オブ・ザ・リングかLord of the Ringかlord of the ringかなんて書いたかわからない
Re: (スコア:0)
いっそ指輪物語で統一すればどうか
Re: (スコア:0)
"The Lord of the Rings"は候補にない、と。
犬猫限定かよ! (スコア:0)
「飼っているペットの名前は?」っていう秘密の質問に
ペット飼ってなかったしポストペットの名前で
回答したことあります。
もう忘れたけど
お粗末 (スコア:0)
不正アクセスが問題になって [security.srad.jp]から2年かけて導入するセキュリティ向上案がこれって…
大概の男性が記憶できるもの (スコア:0)
初恋相手の名前をフルネームで
Re: (スコア:0)
うーむ思い出さん……
Re: (スコア:0)
未入力が受け付けられないのですがどうすれば……
Re: (スコア:0)
俺の場合は初恋相手の誕生日
Re: (スコア:0)
365通りですね分かります。
Re:大概の男性が記憶できるもの (スコア:1)
うるう年バグが。。。
Re:大概の男性が記憶できるもの (スコア:1)
>365通りですね分かります。
2月29日生まれの人もいるのですよ。
そういえば、今年は倉本深青ちゃん [fumica.com]の10歳の誕生日が来るじゃないか
Re: (スコア:0)
池上めぐみ
Apple ID と同じパターン? (スコア:0)
> ログイン時に普段と異なる利用環境と判断された場合に必要
いわゆるパスワード忘れの対応じゃなくって、スマホ変えたりしたら
パスワードが合っていても必ず答えないといけないってこと?
だとすると、Apple ID のと同じで、秘密の質問を適当に設定して
メモってないとひどい目にあうパターンの予感。
Re:Apple ID と同じパターン? (スコア:2)
Re:Apple ID と同じパターン? (スコア:2, 参考になる)
むしろこれだけでいいよね。
秘密の質問には自分も忘れるような乱数を入れておいて毎回規定回数間違えればいいんだけど、面倒くさすぎる。
Re:Apple ID と同じパターン? (スコア:1)
いわゆるホンコレ
常時そのワンタイムパスワードでloginするように設定変更できればいいのに。
普通にニ段階認証を採用したくない理由って何だろう。
Re:Apple ID と同じパターン? (スコア:2)
>普通にニ段階認証を採用したくない理由って何だろう。
ユーザーからの問い合わせが激増するんでしょう。
Re:Apple ID と同じパターン? (スコア:1)
>ユーザーからの問い合わせが激増するんでしょう。
自分が加入しているサービスでのに段階認証だとだいたいこんな感じ。
パスワード認証開始
->SMSで認証コード受信
->認証コードを入力して完了
機器(スマホ)の問題でSMSで受信出来ないケースが一度だけあって、苦労したことは有りますが問合せはしたことなかった。
他になんかあったっけ。
Re: (スコア:0)
それも面倒だから、出来ればGoogle AuthenticatorとかSymantec VIP Accessとか
使ってくれないかなあ。うちだと銀行のうち1つがこれ使ってるので、かなり便利。
もう1つ契約している銀行は独自トークンを申し込めって毎回出てきてうざいのなんの。
どこ行くにもトークン持って行けってそんなの出来るわきゃ無いだろうに。
Re: (スコア:0)
よし。
「秘密の質問に答えるとワンタイムパスワードSMSが送られてきて、それを用いるとパスワード上書きができて、別途メールで送られてきたURLを踏んで行けるログイン画面でIDと新たなパスワードでログインする」
という仕組みにすればバッチシだな!
Re: (スコア:0)
まぁ、たしかに秘密の質問なんて他でもやってるからなぁ
わざわざ、このサービスだけネタにするニュース性はどこにあるのか?
郵貯だった同じだしな。
Re: (スコア:0)
パスワードが2つあるような感じですね。セキュリティのことを考えたら、使ったことのない端末からのアクセスは面倒にしておいたほうがいい。
でも、秘密の質問って、要求される機会が少なく、自分自身も答えを忘れていることが少なくないので、いつもメモを見ています。いろんな人格を持っていて、答えが1つに定まらないのです。