パスワードを忘れた? アカウント作成
13987071 story
インターネット

パスワードリセットを要請された英ISP、なぜか元のパスワードを郵送する 63

ストーリー by hylom
なぜこれがダメかを理解できない人もいそう 部門より

headless曰く、

英セキュリティ企業Cygenta共同設立者のFC氏(Freakyclown)が英プロバイダーVirgin Mediaのアカウント情報を思い出せず、パスワードリセットを要請したところ、なぜか元のパスワードが郵送されてきたそうだ(FC氏のツイートThe Next Web)。

FC氏は数年前にVirgin Mediaでアカウントを設定したまま一度もサインインしたことがなかったため、アカウントの詳細を忘れてしまったという。コールセンターとの通話中にようやく電子メールアドレスだけは思い出し、パスワードリセットを要請。パスワードを郵送するという担当者の言葉を妙だとは思ったものの、FC氏は受け入れたそうだ。しかし、郵送されてきたパスワードを見た途端、自分が設定したパスワードだということを思い出したとのこと。

どのようなパスワードだったのかは説明されていないが、偶然に一致するようなものではなかったようだ。FC氏はVirgin Mediaがパスワードを平文で保存していたことと、パスワードをリセットせずに郵送したことを批判する。この批判に対しVirgin Mediaでは、他人の郵便物を開封するのは違法なので(パスワードの)郵送は安全だ、とTwitterで返信している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by kmc55 (39216) on 2019年08月23日 5時56分 (#3673874) 日記

    「パスワードを平文で保存していたこと」への反論は・・・?

    # 何年も前の話ではあるが、Ad○beでパスワード忘れた時があって、ブラウザ画面に平分で古いパスワードが表示されたんだよなぁ。
    # そういう会社、意外とまだあるんだろうか。

    • by Anonymous Coward on 2019年08月23日 11時19分 (#3674015)

      今は判りませんが、SO○NETにパスワード忘れた申請したら、やっぱりパスワードが平文で郵送されて来ましたねぇ
      平文保管は駄目って言うのが常識になっていた頃でした

      親コメント
    • by Anonymous Coward

      「平文」をなんて読んでるのかねw

      • by nekopon (1483) on 2019年08月23日 8時40分 (#3673900) 日記
        へいぶん、ひらぶんどちらでも良いですよ
        // JIS X0008。なお平分は「へいぶん」だけらしい
        親コメント
        • by Anonymous Coward on 2019年08月23日 8時57分 (#3673912)

          ヘイブン[haven]だけに、避難所にパスワードを隔離していた、とか?

          親コメント
        • by Anonymous Coward

          そういえば「ひらぶん」は湯桶読みだよね。「ひら」という言葉が良くつかわれていたから、それに後から文を足した形なのかと思ってたけど、成立過程とか詳しく知らないな。誰かわかるひといる?

          • by kmc55 (39216) on 2019年08月23日 9時03分 (#3673918) 日記

            私はひらぶん派。

            理由は音で聞いた時に他のものと間違えにくいと思うから。

            代替を「だいがえ」って読むような感じで成立したんではないだろうか。
            「だいたい」だと「大体」が先に頭に浮かんじゃうんだよね。

            # とか言ったものの、「へいぶん」で他のワードが浮かぶ、ということもないな・・・。
            ## たっくすへいぶん、くらい?

            親コメント
            • by Anonymous Coward

              単体で「だいたい」と言ったらそうかもしれないけど、代替を使う文脈で「だいたい」は大体は浮かばないでしょ。

              • by Anonymous Coward

                一度文章として書き起こされた場合はそうなんだけど、人間ってわりと話し言葉では色々いいかげんかつ細切れだったりするんだよ。(テープ起こしとかやらされると分かる)
                そういう時、聞き間違いを減らす方法として有用なんじゃないの。

  • 総ツッコミ (スコア:2, 興味深い)

    by Anonymous Coward on 2019年08月23日 6時11分 (#3673876)

    Twitterでは総ツッコミなわけだが、理由は3つか。

    1. パスワードを平文で保存していること
    2. 平文パスワードを郵送したこと
    3. 「開封は違法だからセキュアだ。」なわけないだろ。

    この手の話は散々あるから1.を指摘したくなるけど、一番面白いのは3.だよね。
    不法侵入は犯罪なので鍵を掛けなくてもセキュアです、ってなもんで。

    平文パスワードのメール送信は時折見かけるが、郵送とどっちが危険かは判断に迷う。
    手作業っぽいので担当者に見られる郵送は怖いが、それを言えばどうせ平文なので全部見れる。
    郵送は途中経路で開封はされない一方、メールは暗号化してなければ途中経路の全員が見れる。
    やっぱメールの方が危ないかな。

    • by Anonymous Coward

      郵送の方が,途中経路で開封された場合「痕跡が残りやすい」というのが重要だと思います。

    • by Anonymous Coward

      偽装は可能ですけど郵送は開封されたかどうかの検出が100%じゃないけど可能ですね。
      無論、封筒の外から見ることも可能だし、見えにくくもできるし、それの対策も・・・というといたちごっこになりますけど。

      パスワードは平文で保存してたのかな、復号したのではなくて?

      もし日本なら、本人限定郵便で送るとかしても郵送では本質的にダメだと言ってる?
      かといってオンラインでできないなら、そのアカウントの使用できるようにするのはできないから破棄して、最初から作り直しが安全でしょう。
      あるいは店頭に出向いて身分証明くらい?

      頭の悪い連中にもできる確実な方法を、となると無理があるんじゃない?
      FC氏(Freakyclown)が納得できる方法は万人には無理があると思う。

      • > パスワードは平文で保存してたのかな、復号したのではなくて?

        昨今では、そもそも復号できる形式で保存するな、が常識では?
        本件の一番の問題、「元のパスワードが郵送された」ことです。

        銀行とかパスワードを郵送して来るとこはちょくちょくありますが、それが再発行されたランダムパスワードなら別に問題にはならなかったでしょう。
        仰る通り、途中で開封されたなら再発行すればいいだけなので。

        ですが、これが自分が入力したパスワードが途中で開封されたとなると、話は全然別です。
        (使い回しの是非は一旦置いておくとして)仮に複数サイトでパスワードを使い回していた場合、全サイトのパスワード変更の必要が生じます。被害は甚大です。

        • by Anonymous Coward

          それどころか、封筒に入れた担当者はパスワードを見てるんだぜ

        • by Anonymous Coward
          昨今は常識でもCHAPなどの平文で保存されたパスワードを必要とするプロトコルもサポートするのであれば選択の余地はないのでは。プロバイダーでパスワードを平文で保存してない業者なんて実在するんだろうか。
          • by Anonymous Coward

            だから「元のパスワード」であることも問題点の一つなんでしょ。

            そういう事情があったとしても、パスワードリセット(リマインドではなく)なんだから、ランダムパスワード設定して送ってくれればいいだけ(ISP側にはパスワードリマインドの仕組み(手順)しかなかったのかもしれないが)。

    • by Anonymous Coward

      "途中経路で見れる"の難易度が郵送のほうが低い気がする。特に最終段階において。

      • by Anonymous Coward

        日本だと封筒に赤字で「パスワード在中」とか書かれたりして……

        • by Anonymous Coward

          どこぞの銀行がうちの会社に「ワンタイムパスワード生成器在中」っていうので送ってきたことがあったなぁ。
          まあ、生成器だけだからいいんだけど、ねぇ。

          • by Anonymous Coward

            書いてあることによって慎重に扱ってくれて、良い方に転ぶケースもあると思うので、一概に良い/悪いは決められないなぁ。

            • by Anonymous Coward

              そういう効果を期待するなら「こわれもの注意」「精密機器在中」でいいだろう

              • by Anonymous Coward

                残念ながら放り投げそう。
                ワンタイムパスワード生成器でも放り投げそうだが。

    • by Anonymous Coward

      電話でパスワードの半分、郵送でパスワードの半分を送ればいいと思う。

      電話の盗聴も違法だから、その理屈だったら、電話でパスワード教えてもいいと思うけど。
      郵送する理由はなりすまし防止なんだろうけど、なりすましも違法だろうからなあ。

  • by Anonymous Coward on 2019年08月23日 8時43分 (#3673904)

    電話や郵送といった、サイバーでない、従って自分の手元のPCからは対策のしようがない通信手段のセキュリティを、過小評価する傾向にあるんじゃないかな。

    常時盗聴でもしてなけりゃ、パスワード再発行依頼の「電話」なんて知り得ないし、以前から郵便局に勤めてるか、でなきゃターゲットの自宅を知ってて郵便受けを見張ってるとかでなきゃ、いくら平文で郵送されたって覗き見ることなんかできないだろうに。

    逆に言えば、電話も郵便も掌握されてパスワード抜かれるほどにピンポイントで狙われてたら、どんな対策してたって破られると思うし。

    • 日本では郵送が最強ってサイバーセキュリティに詳しい人ほど知らないんだな。
      電話やメールで脅迫して逮捕された例に比べて、郵送で逮捕された例はとても少ない。
      電話やメールを特定人物にしつこく送るとストーカー規制法違反になるが、郵送ならセーフ。
      違法なデータや物をやりとりしても、電話やメールは盗聴される可能性があっても、郵便物には警察でさえ手出しできません。

      • by Anonymous Coward

        これ日本じゃなくてイギリスの事件ですよ。
        郵便は国によっては信頼性が著しく低いケースがあります。
        (イギリスがどうかは知りませんが。)

      • by Anonymous Coward

        捕まるのはおまえみたいなド素人で、サイバーセキュリティに詳しい犯罪者は捕まってないの。
        インターネットのほうが厄介なのは、詳しい人ならわかってると思うよw

        あと、ヤバイお薬を郵便で送って捕まったニュースよく見るけど、手出しできないってどういうこと?
        電話やネットだって郵便と同程度には警察は手出しできないのだが。

      • by Anonymous Coward

        郵便に関わる犯罪は検挙が難しいんですね。
        それが安全とどう関係あるのかわかりませんけれども。

    • by Anonymous Coward

      そういう問題じゃない。
      電話か郵送どっちがセキュアかなんてのは、この問題の根本には一切関係ない。

      平文で元のパスワードを送ってくる=”担当者は顧客が自分で設定したパスワードを見放題”

      ってとこが問題なの。それこそ本人の使いまわしの是非は置いといて、
      悪意を持てばメルアドとそのパスワードで他のサイトのそのユーザーのアカウントを乗っ取れるのだから。

      • by Anonymous Coward

        さらに言えば「パスワードリセットを依頼したのに元のパスワードを送ってきた」という客の依頼と違うことをしている時点で顧客対応がダメ。

        • 一般論として。

          目的は、パスワードを忘れてしまったアカウントを再び利用できるようにすること。
          パスワードのリセットは、きっとそうなるんだろうと先回りして考えたこの人の推測でしかない。

          ちなみに顧客対応は、顧客が言ったことをそのとおりに実行するのではなく、顧客が目的を果たすことをサポートすること。

          親コメント
      • by Anonymous Coward

        アカウントの乗っ取りは違法だからセキュアだろ

    • by Anonymous Coward

      まぁ、正直、「お前のパスワード知ったところで、何の役に立つんだよ」とは思うわ

    • by Anonymous Coward

      なりすましてパスワード再発行依頼の電話をする
      →郵送されてくるのを待つ
      →ポストへ投函されたタイミングで手紙を抜く
      →パスワードを取得する
      →パスワードの変更はないので被害者は盗まれたことに気が付かない

      攻撃対象が固定ならこれほど簡単に攻撃できることもないな。

    • by Anonymous Coward

      >従って自分の手元のPCからは対策のしようがない通信手段のセキュリティを、過小評価する傾向にあるんじゃないかな

      それはない。
      ソーシャルエンジニアリングなんて基礎の基礎。

  • by Anonymous Coward on 2019年08月23日 13時04分 (#3674067)

    むかしよくつかわれてたCHAP認証って、プロバイダ側に平文パスワードを保存しておく必要があるんじゃなかった?
    すくなくとも、CHAP認証が使われてる間は、平文パスワードを保存しておく必要がある

    日本でも、フレッツ等のPPPoEではいまでもCHAP認証が使われてるのでは?
    だからプロバイダは平文パスワードを保存してるはず

    • by Anonymous Coward

      廃れちゃったけどメールでも apop ってのがありましたね。経路上を流れるのは md5 とサーバ提示の文字列とでハッシュした文字列だけど元のパスワードがサーバ側にも必要でした。

    • by Anonymous Coward

      チャレンジレスポンス系の場合、サーバ側から送ったチャレンジをクライアントとサーバが保持している同じキーで変換してレスポンスにして、サーバは送り返されてきたレスポンスと自分で変換したレスポンスを比べるという形をとるから、どうしても同じキーを両者が持っていなくてはいけなくなってしまう。

      無線認証のデファクトスタンダードのMSCHAPv2だって、キーが平のパスワードではなくそのNTLMハッシュになってるだけで、ハッシュ自体はサーバ側に残ってる。NTLMハッシュなんてソルトはないわアルゴリズムがRC4だわ、かなりのよっわよわなのに、平ではないというだけで、不問になっている。「平」というだけでこれだけ笑いものにされるのに。

  • by Anonymous Coward on 2019年08月23日 10時27分 (#3673973)

    ICクレジットカードの4桁pinコードも
    忘れたと申し出れば,郵送されてきたりしますけどね。
    つまり平文で保存されてるんでしょうし。

    • by Anonymous Coward

      4桁PINなんてハッシュ化したところで10000通りしかないんだから無意味だろ。
      それにPINはICに書き込まれてるものだから、カード持ってないと意味がない。
      遠隔で不正利用されるようなもんでもない。

  • by Anonymous Coward on 2019年08月23日 12時47分 (#3674057)

    日本では日常風景でしょ?

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...