「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス 37
2018年にもなって秘密の質問? 部門より
JCBプリペイドカードのWebサービスのセキュリティ設定が残念な感じになっているという話が、とあるTwitterユーザーによって報告されている。
報告されている問題は、カード種別と氏名、生まれた年、「秘密の質問」とその回答が分かれば、任意のメールアドレスにパスワード再設定用のURLを送信できる点。「秘密の質問」は任意には設定できず、「母親の旧姓」や「初めて買ったペットの名前」「卒業した小学校の名前」など、ソーシャルハッキングで比較的容易に入手できるような情報ばかりとなっている。
JCBプリペイドカードは退会しても15ヶ月間はマイページにログインして利用明細が確認できる仕組みで、アカウント情報を削除することはできないという。その間のメールアドレスやパスワードの変更を可能とするために、確認メールの送信先を任意に指定できるようにしてしまったのではないか、とツイート主は推測している。
陸マイラーの間では「楽天カード」から「ANA JCBプリペイドカード」を経由して「nanacoチャージ」するルートで人気が高い一方、未だに一定期間でログインパスワードを強制変更させるセキュリティ仕様が物議を醸していた。
なお、今月16日にはデザイナー向けソフトウェア販売代理店のA&Aが、ユーザID・パスワードを忘れた場合の通知機能を悪用した不正アクセスを受けたことを発表している。
「秘密の質問」については第三者に推測される危険性が高いことが以前から問題とされており、SNSなどを使って「秘密の質問」の回答を聞き出す手法がたびたび話題となっている(2014年の記事、2015年の記事)。また、Googleは2015年に「秘密の質問」には根本的欠陥があるという分析結果を公表しているほか、米政府機関によるセキュリティ指針でも使用すべきではないとされている。
ちなみに、2016年には『JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される』という話が話題になっていた。
秘密の質問 = 2つ目のパスワード入力場所 (スコア:2, おもしろおかしい)
ってことで、セキュリティ高いんですよ。と、皮肉を込めながらも有効活用させてもらってる。
完全にランダムなパスワードを登録してるから、本当に正しい答えを知ってる家族なんかもアクセス不能。
Re:秘密の質問 = 2つ目のパスワード入力場所 (スコア:1)
iPhoneは秘密の質問に正しく答えられないと設定変更ができなかった気がする。
Re: (スコア:0)
そうか、ペットの名前を10桁の英数字にしてもいいのか。
Re:秘密の質問 = 2つ目のパスワード入力場所 (スコア:3)
私はランダム入力ですので、二度と「秘密の質問」に答えられません。
Re:秘密の質問 = 2つ目のパスワード入力場所 (スコア:1)
自分はデタラメな文字列にした上で保存してる。不正アクセスされたらしょうがないけど、真面目に答えて突破されるリスクよりは低いだろう。しかしこんなアホな仕組み誰が始めたんだ?
Re:秘密の質問 = 2つ目のパスワード入力場所 (スコア:1)
たしかJCBのサイトは、秘密の質問の答えが全角強制になっているので半角英数字が使えません。
おかげで四苦八苦した記憶があります。
Re: (スコア:0)
たしかJCBのサイトは、秘密の質問の答えが全角強制になっているので半角英数字が使えません。
おかげで四苦八苦した記憶があります。
なるほど!「4989」を「四苦八苦」にして入力しているってことですね!
Re: (スコア:0)
本当にペットの名前を入力してる奴なんているのか?
でも、ほんと秘密の質問は禁止してほしいよね。
パスワードの定期変更のようにちゃんとした機関から勧告してくれないかしら。
未だに要求するバカいるんだよな。
Re: (スコア:0)
「10桁の英数字にしてもいいのか。」なんて呼びにくくない?
Re: (スコア:0)
確かにそうなんだよね。「繧ケ繝ゥ繝?す繝・繝峨ャ繝医?繧ク繝」繝代Φ」とか文字数上限までランダムな文字列を入れておくなら実害はない。
「母親の旧姓は?」に「六分儀」とか、本当でも嘘でも短くて推測が可能な個人情報を入れたらアウトだけど。
# ランダムじゃないだろうって? 日本語のランダム文字列って生成しにくいし
Re:秘密の質問 = 2つ目のパスワード入力場所 (スコア:2)
関係ないけど、「母親の旧姓」とは別に「父親の旧姓」もあるのだろうか?
いや、ランダムな文字列を設定するから、質問は何でもよい訳だが。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re: (スコア:0)
両方入れないと通らないならともかく片方でいいので
どちらか突破されたら終わるって意味では
強度は下がりこそすれ上がることはないんじゃないかと…
Re:秘密の質問 = 2つ目のパスワード入力場所 (スコア:1)
本来は、両方知らないと重要な操作ができないようにしたり、パスワードの再発行のリクエストを利用者以外には困難にしたりするためのもののはず。
この条件を満たさなければ利用できないようにするなら、秘密の質問で安全性が高まるが、
とかなっていたら、秘密の質問は危険を増大させるものでしかない。今回の件もそうだけど、秘密の質問とパスワードの本質的な違いを理解していない人が、運営側にも、利用者側にも多そう。
Re: (スコア:0)
たぶんあなたも分かってない。秘密の質問は擬似本人確認で、確認の確度が低すぎるところが問題。本質的な違いはSomething you knowとsomething you haveとsomething you areの違いなんだけど、問題はそんなところではなくてSYAのつもりでSYKなところ、しかもsomething everyone knowsなところが問題。
だからランダム文字列を入れてせめてSYKにしてやれって技術者が出てくる。
Re: (スコア:0)
秘密の質問こそパスフレーズを広めやすい存在だと思うんだけどナァ…
パスフレーズの例文を書いてくれるだけでも効果あると思う
Re: (スコア:0)
例文を書くとそれをそのまま入れるやつがいるんだよ。嘘だろと思うかもしれないけどこんな話 [security.srad.jp]があってだな。
> xkcdで紹介されている強いパスワードを生成する方法の例「correcthorsebatterystaple」をそのまま使っているものもある。
Re: (スコア:0)
秘密の質問は暗号化されていない可能性がパスワードより高いので、本当に存在するだけ害悪
珍しい苗字でよかった (スコア:1)
俺の母親の旧姓は、
jadsf8903w4nbq34tbf9)d793&4nbt45f7gbq43o94joi3t4bn89fbukgrqenbhiuo34t9#twre98y2345b8hy54grenbkj;aegr@$u
なんだけど、よくある名前の人はたいへんだよね。
Re:珍しい苗字でよかった (スコア:1)
私の母の旧姓は"1234"なんですよ。
珍しいはずなのにすぐハックされちゃんですが、何ででしょうね?
Re: (スコア:0)
QWERTYと相関が高そうな名字だな。adsfとか890とか。
Re: (スコア:0)
Q.母親の旧姓は?
A.そこまで珍しくはないが響きは恰好良いと思う
珍しい苗字をわざわざ覚えるの大変そうですね
「任意のメールアドレス」はやばい (スコア:0)
>任意のメールアドレスにパスワード再設定用のURLを送信できる
秘密の質問自体微妙だなーって感じなのに、登録したメールアドレスに飛ばすんじゃなくて、任意のメールアドレスで受け取れるのかよ。それはやばい。
いや、確かにメールアドレスも変わってしまって困るケースというのはあるのだけれど、お金が絡むものなんだから、その場合は店舗で身分証明書確認とか、実住所に書面で送るとかで我慢してもらうべきだと思う。
Re:「任意のメールアドレス」はやばい (スコア:2)
>いや、確かにメールアドレスも変わってしまって困るケースというのはあるのだけれど、お金が絡むものなんだから、その場合は店舗で身分証明書確認とか、実住所に書面で送るとかで我慢してもらうべきだと思う。
長い間使ってなかったゆうちょATMのカード番号忘れたときは、通帳と印鑑と本人確認できるものを窓口に持っていって書類書いて半月後くらいに簡易書留で受け取ったっけ。
確かネット越しや電話での受付はしてなかったと思う。
Re:「任意のメールアドレス」はやばい (スコア:2)
結局手間で担保するしか無いんですかね
時間だけでも効果あるか?
Re: (スコア:0)
別に本人確認するのに手間はいらんよ。マイナンバーカードにトークンを送って署名させるとかでもいい。
ただ「本人の変わらない特徴だから」という理由で誰でも知っている偽造の容易な情報をその代用にするのには問題がある。
Re:「任意のメールアドレス」はやばい (スコア:2)
手間が軽いと攻撃、研究されやすくクラックされやすいから
最後の手段的な本人確認はをかけさせた方が良いのかな、
対攻撃だけ考えるならその手間は時間をかけさせるだけでも効果あるのかなぁ、
ってことです
秘密の質問の根本的な問題 (スコア:0)
こういうのってさ、入力ルールも適当だから、答えわかってても一致しない場合があるんだよね。
カタカナオンリーとか、ひらがなオンリーとか、何でもOKとか。
自由入力だから、真面目に答えても揺らぎが出るし。
高校は? って質問だけでもひらがな、カタカナ、漢字、漢字でも「○×高校」「○×高等学校」って2種類ある。
そうなると、質問内容によってはもう手が付けられない。
さらに、入力回数制限されてたりするケースもあるし。
上の方にあるけど、質問は無視してパスワードとして運用するのが一番なんだろうね。
Re:秘密の質問の根本的な問題 (スコア:1)
業務でiPhone・iPadのキッティングしてたことあるけど、Apple IDを作成するときの「秘密の質問」は割と適当というか、社内で決めた質問の答えとは全然違う文字列にしてたなぁ。
# Apple IDの作成時は秘密の質問を3つも設定しないといけない
Re: (スコア:0)
しかも全部の答えを別の文字列にしろとかいう、3つ覚えなきゃならなくてめんどくさい
職場の上司とニックネームと親友の名前が同じだったらどうしようもない
Re:秘密の質問の根本的な問題 (スコア:1)
それぐらいなら許容できるんですけど、以前のと変わっていなければ、JCBの場合は質問文が固定で自分で選べない上に、いくつか設定させた上で、その時々でランダムなのを聞いてくるんですよね。
「母親の旧姓は?」とか「通っていた小学校の名前は?」ぐらいなら良いんですけど、「初めて住んだ場所は?」とかだと、「東京」なのか「東京都」なのか、「新宿」なのか「新宿区」なのか、はたまた「大久保」なのか、メモってないととてもわかんないわけですよ。その上、当然のように決まった回数間違えるとアウトなので、答えに自信が無い質問が出てくると超あせります。
その時々で答えが変わりそうな質問とかでも、無理矢理答えを設定させてくるので、システムを作った人間は馬鹿なんじゃないかと思いました。。
Re: (スコア:0)
Re: (スコア:0)
「東京」2文字のパスワードとか有り得ないでしょ。秘密の質問はただのパスワードなんだから。
パスワードは十分な長さで無意味かつランダムな文字列を設定するもの。で、それを管理ソフトに入れる。
楽天銀行が (スコア:0)
しょっちゅう秘密の質問を「ログイン時に」聞いてくるのだが…。
多分、前回ログイン時とIPアドレスが違うとかそういう些細な理由で、だと思う。
#この場合パスワードと両方答えられないとログインできない。
せめて、「秘密の質問」の文言を変えてほしい (スコア:0)
よく言われているけど、
サービスによっては、質問の内容も覚えておく必要があるし、
秘密の質問ってサービスごとに用意できるわけではないし(パスワードはサービスごとに変えろと推奨されているのだから当然、質問と質問の答えはサービスの数だけ増やす必要がありますよね)、
じゃあ、適当に入力してしまおうと思ったら、ログインの第2パスワード的な使い方を使用しているところもあるし、
「ワイド文字的なパスワード」とか、「使いまわし可能な(開けゴマ的な)呪文」とかの名称にしてほしいです。
Re: (スコア:0)
ああ、どのサイトも似たようなこと尋ねてくるから(真面目に答えてると)必然的に使い回しになってしまうのも秘密の質問の最悪なところだな。
Re: (スコア:0)
しかも、ハッシュ化せずにクリアテキストで保存しているサイトも有るからより悪い。