クロネコメンバーズの二段階認証、スマホ向けログイン画面には実装されていなかった 49
ストーリー by hylom
どうしてこうなった 部門より
どうしてこうなった 部門より
先日ヤマト運輸の顧客向けサービス「クロネコメンバーズ」が不正アクセスを受ける事件があった(過去記事)。このサービスでは二段階認証によるセキュリティ強化が行われたものの、携帯端末向けサイトやアプリでは二段階認証を設定していても二段階認証を行わずにログインすることができたという(Togetterまとめ)。
クロネコメンバーズの「よくあるご質問(FAQ)」ページによると、「ヤマト運輸アプリとモバイルサイトからログインした場合は認証番号を求められません」とのことだが、モバイルサイトにPCからアクセスした場合でも2段階認証は求められないようだ。
裏口に鍵がなかったというより (スコア:0)
正面玄関が2つあって、片方にしか鍵がなかった
というとこだねえ。
Re:裏口に鍵がなかったというより (スコア:1)
二世帯住宅かな。
Re: (スコア:0)
2段階認証はチェーンロックのイメージがしっくりくる。
鍵が盗まれても(パスワードが漏れても)、
家人が中から開けないと(登録済み端末等から別途許可しないと)、
家屋への侵入は出来ません(ログイン認証は成功しません)。
で、今回は、表玄関にはチェーンロックがあったけど、
同じ鍵を使う勝手口にはチェーンロック付けてなかったよ、という感じか。
#まあ、窓の話は忘れよう。
というか2段階認証はどこにあったんだ?
携帯/モバイルサイトっていうのはガラケー用のサイトって意味?
クロネコヤマトは今もiモードサイトあるよね?
ちょっと整理する:
- PCブラウザ→PC用ログインサイト 〇
-
Re: (スコア:0)
スマホ用ログインページというか、サイトがある。
PC用と比較すると一見同じに見えるがソースが違う。
Re: (スコア:0)
なにゆえ別なのか。レスポンシブデザイン全否定だな。
Re: (スコア:0)
そんなサイト、いくらでもあるだろ。
PC用, スマホ用, ガラケー用, AMP用で別URLにするの、止めてくれ。
1情報1URLにろ。
Re: (スコア:0)
そもそもスマホアプリって、
パスワードを保存しててその都度自動入力してログインさせてるもんな。
トークンとかそういう意識はゼロだし。これだけでもダサいと思ってしまう。
クロネコは割と頑張ってる方だけど、やっぱりちゃんとしたIT専業チームを持ってないとこは残念実装になる。
Re: (スコア:0)
立派な正面玄関はあったんだけど、
鍵開けるのが面倒だか通用口も作りました。
鍵を開ける手間がかからなくてとってもベンリ
#バケツで再処理して効率化の精神
引用部分が (スコア:0)
> 「ヤマト運輸アプリとモバイルサイトからログインした場合は認証番号を求められません」とのことだが、モバイルサイトにPCからアクセスした場合でも2段階認証は求められないようだ。
いや、それはそうでしょう。そう書いてある。
じゃなくて、hylomさんが指摘しようとしたのは、その後ろの部分ですよね↓
とのことだが、モバイルサイトにPCからアクセスした場合でも2段階認証は求められないようだ。(PCでのリスクは減らないようだ)
Re: (スコア:0)
何のための二段階認証なのか。
好意的に解釈するなら、パスワードロックかけずに離席したPCから、
パスワード保存したブラウザからのログインを防げるくらい?
Re: (スコア:0)
その端末にメール来るよね??
Re: (スコア:0)
攻撃者へのブラフにはなるかなー?
ならないか?2段階設定が一部ユーザなら結局脆弱なアカウントへの突破効率は大差ないか。
じゃあデコイかなんかだな、よくわからんが。きっと何かの意味があるんだ。
Re: (スコア:0)
クロネコメンバーズ2段階認証について
http://www.kuronekoyamato.co.jp/webservice_guide/twostepauth.html [kuronekoyamato.co.jp]
を読むと普通にリスト型攻撃を想定しているようで、公式FAQとちぐはぐだし、
だから、たぶん大抵の人は信頼できる端末として登録しちゃってるんじゃないかと……。
Re: (スコア:0)
> 何のための二段階認証なのか。
ちゃんとやってますアピール以外の何物でもない。
Re: (スコア:0)
二段階が回避可能と知っている攻撃者やスマホ使ってる攻撃者やには意味がないが、
偶々パスワードを得た攻撃者が何も考えずPCからアクセスしようとした場合は検知&阻止ができる。
リスクが少しは減ってる。ほんの少しだけ。
二段階認証なんてほとんどのサイトじゃ不要 (スコア:0)
金融系サービスや、クレカ登録したサイトならともかく、
アカウント作ってある雑多なサイト群に二段階認証なんて設定されても面倒なだけ
重要なのは、アカウント作ってるすべてのサービスに対して、全部違うパスワードを設定すること
パスワードマネージャ使ってランダムパスワード設定すればいいだけ
Re:二段階認証なんてほとんどのサイトじゃ不要 (スコア:1)
クレカ登録したサイトならともかく
クロネコペイ
ヤマト運輸のクロネコメンバーズに登録されたお届け先やクレジットカード情報を利用して、かんたんにお買い物ができます。
https://www.yamatofinancial.jp/consumer/payment/id/index.html [yamatofinancial.jp]
Re:二段階認証なんてほとんどのサイトじゃ不要 (スコア:1)
推奨環境がヤバい
https://www.yamatofinancial.jp/service/flow/requirements.html [yamatofinancial.jp]
Re:二段階認証なんてほとんどのサイトじゃ不要 (スコア:1)
実装がまともだったならば、ID連携して、IDプロバイダー1つの2段階認証のみで済む、
パスワード管理ツールが信用に足りるならば、パスワード管理ツールのみで済む、
という理想への過渡期ですからな。
変化に追随出来る者が生き残る。
これだけ!と決め付けることが、最も賢くない選択だ。
Re: (スコア:0)
信用に足りるパスワード管理ツール
- メモ帳
- メジャーなブラウザ
これで十分。
Re: (スコア:0)
Microsoft Excel はダメですか?
Re: (スコア:0)
肝心のパスワード生成の話が欠けている。
まあ、Powershellの[System.Web.Security.Membership]::GeneratePassword関数使えばよろし。
あと、メモ帳は使う人が多いから、拡張子は変えて…当然ファイル名にpasswdとかshadowとか絶対入れちゃだめよ…、
最低でもEFSで暗号化、可能なら外部暗号化ストレージに保存して、そのストレージのパスワード
…いわばマスターパスワードと言える…を強固なものにしておくとよい。
なお、ブラウザのパスワード管理ツールって、容易にエキスポートできないから、
実はPC移行/アカウント再設定時のデータ移行時やブラウザ異常時のBCPが面倒。
それに
Re: (スコア:0)
Google Chrome は
* パスワードを登録するフォーム画面で(100%じゃないけど)パスワードを生成してくれる。
* chrome://settings/passwords からパスワードを export することが出来る。
* 同期パスフレーズを設定すれば、クラウドにはパスフレーズが暗号化されたデータのみが保存される。
まあ、Gooogle をどの程度信用できるはは人によって違うが、いわゆるパスワード管理ソフトと同程度には信用してもいいと思う。
Re:二段階認証なんてほとんどのサイトじゃ不要 (スコア:1)
Omni7「そのとおり」
Re: (スコア:0)
Omni7ちゃんは2段階認証以外のところでもボロボロなので、出てこないでね^^
Re:二段階認証なんてほとんどのサイトじゃ不要 (スコア:1)
> パスワードマネージャ使ってランダムパスワード設定すればいいだけ
パスワードマネージャのオススメ教えてください。なるべく安いやつで。
Re:二段階認証なんてほとんどのサイトじゃ不要 (スコア:1)
1password 使い始めて半年程です。
まぁいいんじゃないかなーって感じ。
高いか安いかは、その人の価値観だけど、、、
まさに今までテキストファイル+暗号化してPWリスト管理してたのが、半自動化されてかなり楽になりました。個人的には、使用料払う価値ありと思ってます。
Re: (スコア:0)
別にツール使わずとも、キーボードをぐちゃぐちゃっと打ってパスワード作ればいいのよ。
そしてデスクトップの「パスワード.txt」に保存していけばいいのよ。
Re: (スコア:0)
利用サイトに「パスワードを忘れたので再設定する」機能があるなら、保存すら不要です。
Re: (スコア:0)
> パスワードマネージャ使ってランダムパスワード設定すればいいだけ
パスワードマネージャのオススメ教えてください。なるべく安いやつで。
ブラウザーのパスワードマネージャでいいんじゃないかな。
ドメインが違うと出てこないので、フィッシング対策にもなる。
Re: (スコア:0)
ID×パスワード
なんだから、メールアドレスをIDとして強制的に設定するようなサービスが悪い
害悪でしか無い
Re:二段階認証なんてほとんどのサイトじゃ不要 (スコア:1)
この「メールアドレス+(ユーザが設定した)パスワード」で認証するシステムはなんで無くならないんだろうねえ。
「(サイトが振り出した)ID+(ユーザが設定した)パスワード+(連絡用の)メールアドレス」にすれば、
どこか他所から漏れたユーザ情報を元に侵入されることも無いだろうに。
Re:二段階認証なんてほとんどのサイトじゃ不要 (スコア:1)
むしろ昔のオンラインサービスのほうが「(サイトが振り出した)ID+(ユーザが設定した)パスワード+(連絡用の)メールアドレス」が普通だったよね。
Re:二段階認証なんてほとんどのサイトじゃ不要 (スコア:1)
ID忘れるからだよ。
Re: (スコア:0)
それって 15926535みたいなIDにするってこと?
まあ実効性はあるかもしれないけど、パスワード管理しないユーザーにサイト管理者がブチ切れたようなアイデアだなあ。
Re: (スコア:0)
>アカウント作ってるすべてのサービスに対して、全部違うパスワードを設定すること
これが無理だからだよ。
できてる人3%もいないんじゃないかな。
だからそれができてないおばかさんを守るために2段階認証がある。
といっても、たぶん現実はその3%の人はみんな2段階認証を有効にして、
そのほかの人たちは有効にしてないんだよね・・・
IPアドレス帯域 (スコア:0)
> ヤマト運輸アプリとモバイルサイトからログインした場合は認証番号を求められません
ガラケー時代の、「IPアドレス帯域」でPCからのアクセスを弾ける(ことになっていた)時代の発想のままスマホ向けにサービスを拡張したんじゃねーかな
Re: (スコア:0)
フツーに端末登録みたいなの出来たんじゃなかったっけ。
リスト型攻撃の被害に遭ったことを公表すべきか (スコア:0)
これまでは「企業側の責任ではないので被害公表の必要はない」「ユーザーへ注意喚起のために公表するべき」「大手では不正試行が茶飯事なので集計発表してたらキリがない」「ぶっちゃけどうでもいい」という反応だったものが、被害の公表によりシステム上の脆弱性が広く認知される前例ができてしまいましたね。
Re: (スコア:0)
良いことだ。
Re: (スコア:0)
「公表しなければヘーキヘーキ」→「GitHubに丸上げしてました」
なんてオチもありうるぞ
二段階認証の前に最大パスワード長の短さをどうにかしろ (スコア:0)
最大パスワード長 たったの12文字ってなんやねん?
おい笑ってるイオン、UFJ、てめーらもだ。
てめーらに至っては今時8文字とか10文字とかあほかよ。
Re:二段階認証の前に最大パスワード長の短さをどうにかしろ (スコア:1)
よし!五段階認証を導入しよう!
Re: (スコア:0)
どっかのなにかで実質3段階認証のサービスが有ったな。
結果?
そりゃ既にどっかのなにかって感じでしか覚えていない位で御察し。
ただただ面倒だったって悪印象だけは覚えていると。
Re: (スコア:0)
今、組み合わせられそうなものを列挙すると…
- (サーバー側でのログイン意図確認) パスワード
- (サーバーからの本人確認) ワンタイムパスワード認証(経路はメール・SMS・Autenticator等)
- (端末上での本人確認) 指紋認証・顔認証(端末利用時の。もしくは端末へのパスワードログインや、パスワードマネージャーのマスターパスワードなども)
- (ブラウザ等UIの正当性確保) HTTPSクライアント認証(Mutual TLS…よくあるHTTPSでなくてクライアント証明書インストール必須の奴ね。EDIではよくある)
- (接続回線の正当性確保) VPN接続認証
- (回線に接続する端末の正当性確保) IMEIを利用した接続認証(IIJ等がやっててSIM差し替えをブロックする奴、既に同じLAN内ならRADIUS認証が代わりになるかな)
まあ、端末上での本人確認含めるとかVPNとか無理やり感あるし、
機能が無駄に重複してもいるが、今でも5段階ならあり得なくはないか。
Re:二段階認証の前に最大パスワード長の短さをどうにかしろ (スコア:1)
一部デマや誤解を招く情報が混じっている。正確には次の通り。
- クロネコメンバーズ [kuronekoyamato.co.jp]:
パスワード桁数:6~12桁
クロネコID桁数:自由に決められる 6~60桁
- イオンインターネットバンキング:
パスワード桁数:6~12桁 [aeonbank.co.jp]
契約者ID桁数 :固定された10桁数字 [aeonbank.co.jp]
- イオンスクエア [aeon.co.jp](インターネットバンキングじゃない方):
パスワード桁数;6~8桁
イオンスクエアメンバーID:自由に決められる6~40桁
- 三菱UFJ銀行:
IBログインパスワード桁数:8~16桁 [bk.mufg.jp]
契約番号(ログインID) :固定された8桁もしくは10桁の数字
ちなみに、他の銀行に目を向けると、
- 楽天銀行のログインパスワード:8~12桁 [rakuten-bank.net]
- じぶん銀行の〃:6~16桁 [jibunbank.co.jp]
- ソニー銀行の〃:6~8桁(2010頃) [moneykit.net] ※まさか今も? [moneykit.net]
と銀行名の間違いを除けば、指摘の本筋は間違ってない。
どうも銀行は、取引のために別の第2暗証番号やワンタイムパスワードを併用しているからか、
情報を見られるだけならカチコチにしなくて構わないと考えている節がある。
でも、今時、桁数倍くらいには増やして欲しいよね。
うちの社内じゃ最低パスワード桁数が16桁~だよ。
こう見ると、クロネコメンバーズは、IDを専用の長いものに変えることで、自衛できるかもしれん。
配信されるメールにも氏名のみが書かれていて、オンラインではログイン時以外にIDを用いる場面がない。
ただ、営業所の端末や、配達員の端末にはIDが表示されるから内部漏洩には意味がないが…といってもそれはそれで、
長く分かりずらい方がよさそげである。
Re:二段階認証の前に最大パスワード長の短さをどうにかしろ (スコア:1)
NTTデータのANSER-WEB/AnserParaSOLを採用しているオンラインバンキングは6~12桁なんじゃないですかね。
なぜクロネコメンバーズがそれと同じ桁数なのかは知らんけど。
Re:二段階認証の前に最大パスワード長の短さをどうにかしろ (スコア:1)
ハッシュ化したら元の長さはどれほど長かろうが問題ないはずなのに制限つけるってことは
ハッシュではない方法で保存してるってことなのかな。
さすがに100MBとかのサイズで送りつけられると面倒だろうから、最大長はあっていいと思うけど、最低でも50は欲しいな。
Re: (スコア:0)
最大12文字とかだとなんで?って思うけど、割と上限値の策定には困るってのはある。
50とかだと、この50ってのはどっから出てきたんだ?とか言われる気がする。
100とかだと、そんな長いパスワード使う奴いねーよwって空気が出るし、オーバースペックはそれはそれで仕様的には微妙な所があって、
普通のユーザーが使う長さ、あまりユーザーを困惑させない長さ、辺りの判断に落ち着きがち。
IPAあたりが何文字以上にしろやとかガイドライン出してくれると話を進めやすいのだが。