
パスワードリセットを要請された英ISP、なぜか元のパスワードを郵送する 63
ストーリー by hylom
なぜこれがダメかを理解できない人もいそう 部門より
なぜこれがダメかを理解できない人もいそう 部門より
headless曰く、
英セキュリティ企業Cygenta共同設立者のFC氏(Freakyclown)が英プロバイダーVirgin Mediaのアカウント情報を思い出せず、パスワードリセットを要請したところ、なぜか元のパスワードが郵送されてきたそうだ(FC氏のツイート、The Next Web)。
FC氏は数年前にVirgin Mediaでアカウントを設定したまま一度もサインインしたことがなかったため、アカウントの詳細を忘れてしまったという。コールセンターとの通話中にようやく電子メールアドレスだけは思い出し、パスワードリセットを要請。パスワードを郵送するという担当者の言葉を妙だとは思ったものの、FC氏は受け入れたそうだ。しかし、郵送されてきたパスワードを見た途端、自分が設定したパスワードだということを思い出したとのこと。
どのようなパスワードだったのかは説明されていないが、偶然に一致するようなものではなかったようだ。FC氏はVirgin Mediaがパスワードを平文で保存していたことと、パスワードをリセットせずに郵送したことを批判する。この批判に対しVirgin Mediaでは、他人の郵便物を開封するのは違法なので(パスワードの)郵送は安全だ、とTwitterで返信している。
うーん (スコア:2)
「パスワードを平文で保存していたこと」への反論は・・・?
# 何年も前の話ではあるが、Ad○beでパスワード忘れた時があって、ブラウザ画面に平分で古いパスワードが表示されたんだよなぁ。
# そういう会社、意外とまだあるんだろうか。
Re:うーん (スコア:1)
今は判りませんが、SO○NETにパスワード忘れた申請したら、やっぱりパスワードが平文で郵送されて来ましたねぇ
平文保管は駄目って言うのが常識になっていた頃でした
Re: (スコア:0)
「平文」をなんて読んでるのかねw
Re:うーん (スコア:1)
// JIS X0008。なお平分は「へいぶん」だけらしい
Re:うーん (スコア:1)
ヘイブン[haven]だけに、避難所にパスワードを隔離していた、とか?
Re: (スコア:0)
そういえば「ひらぶん」は湯桶読みだよね。「ひら」という言葉が良くつかわれていたから、それに後から文を足した形なのかと思ってたけど、成立過程とか詳しく知らないな。誰かわかるひといる?
Re:うーん (スコア:2)
私はひらぶん派。
理由は音で聞いた時に他のものと間違えにくいと思うから。
代替を「だいがえ」って読むような感じで成立したんではないだろうか。
「だいたい」だと「大体」が先に頭に浮かんじゃうんだよね。
# とか言ったものの、「へいぶん」で他のワードが浮かぶ、ということもないな・・・。
## たっくすへいぶん、くらい?
Re: (スコア:0)
単体で「だいたい」と言ったらそうかもしれないけど、代替を使う文脈で「だいたい」は大体は浮かばないでしょ。
Re: (スコア:0)
一度文章として書き起こされた場合はそうなんだけど、人間ってわりと話し言葉では色々いいかげんかつ細切れだったりするんだよ。(テープ起こしとかやらされると分かる)
そういう時、聞き間違いを減らす方法として有用なんじゃないの。
総ツッコミ (スコア:2, 興味深い)
Twitterでは総ツッコミなわけだが、理由は3つか。
この手の話は散々あるから1.を指摘したくなるけど、一番面白いのは3.だよね。
不法侵入は犯罪なので鍵を掛けなくてもセキュアです、ってなもんで。
平文パスワードのメール送信は時折見かけるが、郵送とどっちが危険かは判断に迷う。
手作業っぽいので担当者に見られる郵送は怖いが、それを言えばどうせ平文なので全部見れる。
郵送は途中経路で開封はされない一方、メールは暗号化してなければ途中経路の全員が見れる。
やっぱメールの方が危ないかな。
Re: (スコア:0)
郵送の方が,途中経路で開封された場合「痕跡が残りやすい」というのが重要だと思います。
Re: (スコア:0)
開けて中身見て別の封筒に入れれば痕跡ないですけどね。
同様の封筒を用意する必要がありますが、受け手はどんな封筒で来るのか知らないから正規のものでなくてもバレない。
Re:総ツッコミ (スコア:1)
Re: (スコア:0)
紙粘土で簡単にコピーできそう。
Re: (スコア:0)
♪手の平を太陽に透かして見ればぁ~
透かしても出血しないけど、痕跡あるのかな?
Re:総ツッコミ (スコア:1)
Re: (スコア:0)
偽装は可能ですけど郵送は開封されたかどうかの検出が100%じゃないけど可能ですね。
無論、封筒の外から見ることも可能だし、見えにくくもできるし、それの対策も・・・というといたちごっこになりますけど。
パスワードは平文で保存してたのかな、復号したのではなくて?
もし日本なら、本人限定郵便で送るとかしても郵送では本質的にダメだと言ってる?
かといってオンラインでできないなら、そのアカウントの使用できるようにするのはできないから破棄して、最初から作り直しが安全でしょう。
あるいは店頭に出向いて身分証明くらい?
頭の悪い連中にもできる確実な方法を、となると無理があるんじゃない?
FC氏(Freakyclown)が納得できる方法は万人には無理があると思う。
一番の問題点は「元のパスワードが郵送された」こと (スコア:0)
> パスワードは平文で保存してたのかな、復号したのではなくて?
昨今では、そもそも復号できる形式で保存するな、が常識では?
本件の一番の問題、「元のパスワードが郵送された」ことです。
銀行とかパスワードを郵送して来るとこはちょくちょくありますが、それが再発行されたランダムパスワードなら別に問題にはならなかったでしょう。
仰る通り、途中で開封されたなら再発行すればいいだけなので。
ですが、これが自分が入力したパスワードが途中で開封されたとなると、話は全然別です。
(使い回しの是非は一旦置いておくとして)仮に複数サイトでパスワードを使い回していた場合、全サイトのパスワード変更の必要が生じます。被害は甚大です。
Re: (スコア:0)
それどころか、封筒に入れた担当者はパスワードを見てるんだぜ
Re: (スコア:0)
Re: (スコア:0)
だから「元のパスワード」であることも問題点の一つなんでしょ。
そういう事情があったとしても、パスワードリセット(リマインドではなく)なんだから、ランダムパスワード設定して送ってくれればいいだけ(ISP側にはパスワードリマインドの仕組み(手順)しかなかったのかもしれないが)。
Re: (スコア:0)
"途中経路で見れる"の難易度が郵送のほうが低い気がする。特に最終段階において。
Re: (スコア:0)
日本だと封筒に赤字で「パスワード在中」とか書かれたりして……
Re: (スコア:0)
どこぞの銀行がうちの会社に「ワンタイムパスワード生成器在中」っていうので送ってきたことがあったなぁ。
まあ、生成器だけだからいいんだけど、ねぇ。
Re: (スコア:0)
書いてあることによって慎重に扱ってくれて、良い方に転ぶケースもあると思うので、一概に良い/悪いは決められないなぁ。
Re: (スコア:0)
そういう効果を期待するなら「こわれもの注意」「精密機器在中」でいいだろう
Re: (スコア:0)
残念ながら放り投げそう。
ワンタイムパスワード生成器でも放り投げそうだが。
Re: (スコア:0)
電話でパスワードの半分、郵送でパスワードの半分を送ればいいと思う。
電話の盗聴も違法だから、その理屈だったら、電話でパスワード教えてもいいと思うけど。
郵送する理由はなりすまし防止なんだろうけど、なりすましも違法だろうからなあ。
なまじサイバーセキュリティに詳しい奴って (スコア:1)
電話や郵送といった、サイバーでない、従って自分の手元のPCからは対策のしようがない通信手段のセキュリティを、過小評価する傾向にあるんじゃないかな。
常時盗聴でもしてなけりゃ、パスワード再発行依頼の「電話」なんて知り得ないし、以前から郵便局に勤めてるか、でなきゃターゲットの自宅を知ってて郵便受けを見張ってるとかでなきゃ、いくら平文で郵送されたって覗き見ることなんかできないだろうに。
逆に言えば、電話も郵便も掌握されてパスワード抜かれるほどにピンポイントで狙われてたら、どんな対策してたって破られると思うし。
郵送は最強の通信手段 (スコア:0)
日本では郵送が最強ってサイバーセキュリティに詳しい人ほど知らないんだな。
電話やメールで脅迫して逮捕された例に比べて、郵送で逮捕された例はとても少ない。
電話やメールを特定人物にしつこく送るとストーカー規制法違反になるが、郵送ならセーフ。
違法なデータや物をやりとりしても、電話やメールは盗聴される可能性があっても、郵便物には警察でさえ手出しできません。
Re: (スコア:0)
これ日本じゃなくてイギリスの事件ですよ。
郵便は国によっては信頼性が著しく低いケースがあります。
(イギリスがどうかは知りませんが。)
Re: (スコア:0)
捕まるのはおまえみたいなド素人で、サイバーセキュリティに詳しい犯罪者は捕まってないの。
インターネットのほうが厄介なのは、詳しい人ならわかってると思うよw
あと、ヤバイお薬を郵便で送って捕まったニュースよく見るけど、手出しできないってどういうこと?
電話やネットだって郵便と同程度には警察は手出しできないのだが。
Re: (スコア:0)
郵便に関わる犯罪は検挙が難しいんですね。
それが安全とどう関係あるのかわかりませんけれども。
Re: (スコア:0)
そういう問題じゃない。
電話か郵送どっちがセキュアかなんてのは、この問題の根本には一切関係ない。
平文で元のパスワードを送ってくる=”担当者は顧客が自分で設定したパスワードを見放題”
ってとこが問題なの。それこそ本人の使いまわしの是非は置いといて、
悪意を持てばメルアドとそのパスワードで他のサイトのそのユーザーのアカウントを乗っ取れるのだから。
Re: (スコア:0)
さらに言えば「パスワードリセットを依頼したのに元のパスワードを送ってきた」という客の依頼と違うことをしている時点で顧客対応がダメ。
Re:なまじサイバーセキュリティに詳しい奴って (スコア:2)
一般論として。
目的は、パスワードを忘れてしまったアカウントを再び利用できるようにすること。
パスワードのリセットは、きっとそうなるんだろうと先回りして考えたこの人の推測でしかない。
ちなみに顧客対応は、顧客が言ったことをそのとおりに実行するのではなく、顧客が目的を果たすことをサポートすること。
Re: (スコア:0)
アカウントの乗っ取りは違法だからセキュアだろ
Re: (スコア:0)
まぁ、正直、「お前のパスワード知ったところで、何の役に立つんだよ」とは思うわ
Re: (スコア:0)
なりすましてパスワード再発行依頼の電話をする
→郵送されてくるのを待つ
→ポストへ投函されたタイミングで手紙を抜く
→パスワードを取得する
→パスワードの変更はないので被害者は盗まれたことに気が付かない
攻撃対象が固定ならこれほど簡単に攻撃できることもないな。
Re: (スコア:0)
郵便には書留系の郵送法もあるのだが。
Re: (スコア:0)
パスワードの郵便、銀行からちょくちょく来るが、書留だったことなんてないぞ。
Re: (スコア:0)
ガチ勢によるクレカを抜きとる手口。
https://www.nikkei.com/article/DGXMZO46807920R00C19A7CC1000/ [nikkei.com]
ピッキングはオレも得意w
会社の引き出しとかクリップ2個でサクッと開けちゃうよ。
ダイアル錠もこんなもの
https://twitter.com/ogitech0527/status/1160147913042886656 [twitter.com]
Re: (スコア:0)
>従って自分の手元のPCからは対策のしようがない通信手段のセキュリティを、過小評価する傾向にあるんじゃないかな
それはない。
ソーシャルエンジニアリングなんて基礎の基礎。
PPP CHAP認証 (スコア:1)
むかしよくつかわれてたCHAP認証って、プロバイダ側に平文パスワードを保存しておく必要があるんじゃなかった?
すくなくとも、CHAP認証が使われてる間は、平文パスワードを保存しておく必要がある
日本でも、フレッツ等のPPPoEではいまでもCHAP認証が使われてるのでは?
だからプロバイダは平文パスワードを保存してるはず
Re: (スコア:0)
廃れちゃったけどメールでも apop ってのがありましたね。経路上を流れるのは md5 とサーバ提示の文字列とでハッシュした文字列だけど元のパスワードがサーバ側にも必要でした。
Re: (スコア:0)
チャレンジレスポンス系の場合、サーバ側から送ったチャレンジをクライアントとサーバが保持している同じキーで変換してレスポンスにして、サーバは送り返されてきたレスポンスと自分で変換したレスポンスを比べるという形をとるから、どうしても同じキーを両者が持っていなくてはいけなくなってしまう。
無線認証のデファクトスタンダードのMSCHAPv2だって、キーが平のパスワードではなくそのNTLMハッシュになってるだけで、ハッシュ自体はサーバ側に残ってる。NTLMハッシュなんてソルトはないわアルゴリズムがRC4だわ、かなりのよっわよわなのに、平ではないというだけで、不問になっている。「平」というだけでこれだけ笑いものにされるのに。
Re:PPP CHAP認証 (スコア:1)
「平」というだけでこれだけ笑いものにされるのに。
驕れるものは久しからず、と
ICクレジットカードの4桁pinコード (スコア:0)
ICクレジットカードの4桁pinコードも
忘れたと申し出れば,郵送されてきたりしますけどね。
つまり平文で保存されてるんでしょうし。
Re: (スコア:0)
4桁PINなんてハッシュ化したところで10000通りしかないんだから無意味だろ。
それにPINはICに書き込まれてるものだから、カード持ってないと意味がない。
遠隔で不正利用されるようなもんでもない。
何も驚かない (スコア:0)
日本では日常風景でしょ?