パスワードを忘れた? アカウント作成
16674517 story
お金

いまになって「秘密の質問」を導入しようとしているWebサービス 85

ストーリー by nagazou
秘密 部門より
りそなカードは7月4日から、りそなカード《セゾン》会員専用WEBサービス「りそなNetアンサー《セゾン》」をリニューアルするそうだ。その際、新たな変更項目として「秘密の質問」の導入やワンタイムパスワードの設定、WEB明細への切り替えなどが必要になるという。秘密の質問に関しては、スラドでも以前から批判的な見方が出ているなどそのセキュリティー強度に関しては危険性が指摘されている。またYahoo! JAPANも2021年に廃止している(参考記事その2)。

あるAnonymous Coward 曰く、

送られてきた郵便物を今更開封して気が付いたのだが、りそなカード《セゾン》に関するWebサイト「りそなNetアンサー」がリニューアルに伴って、今更ながら「秘密の質問」を導入しようとしている模様。今更「秘密の質問」って…、って当ACは感じてしまうのだが、ここに集う一般の皆様はどう思われるのでしょうか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • もしかして (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2023年06月28日 8時27分 (#4485385)

    ひみつの質問が全盛期だったころに発注したシステムが今頃になって完成しただけだったりして

    • by Anonymous Coward

      りそなグループはオンラインサービスのマイゲートのログイン時にさえ秘密の質問を必須としているので、ありえない話じゃないですね。
      給与振込口座なので日々利用していますが、なんかズレてる感じ。

  • by Anonymous Coward on 2023年06月28日 10時03分 (#4485445)

    ユーザー名が2つあるような状況だと、大抵のパスワード管理ソフトは自動入力対応しないから毎回コピペしないといけないのでめんどくさい。
    それともパスワード管理ソフトのプログラマーは銀行口座すら持ってないのかしら。

    • 俺の知ってる大抵のパスワード管理ソフトは入力シーケンスを個別設定できるからそういうサイトにも対応できるけどな

      あと、サイト側も一つめのテキストボックスに分割されたユーザー名をまとめて入れることを許容しているところもあるから試してみたら

      親コメント
    • by Anonymous Coward

      たまにクレジットカードを4桁区切りで入力させられるカートも、めんどくさいですね。
      目視で入力する時に便利なんだとは思いますが、自動入力できなくてコピペさせられるのが・・・

  • めったに行かんとことかサーバ名変わったとかだとパスワード忘れるわ
    IDがあってたときに出す俺向けヒント書かせて欲しい
    秘密の質問で質問を自分でかけるのでもまあいい

  • by zambia (36932) on 2023年06月28日 8時27分 (#4485384)

    どこだったか忘れたけど、
    自分で設定した秘密の質問が表示されて
    自分で設定した回答を入力する
    認証方法を実装したサイトがあって、
    秘密の質問がプルダウン選択じゃ秘密じゃないじゃんと思っていたら、あっという間にやめてしまったことがありました
    質問と回答のペアを自分で設定できて、質問も入力式で文字種の制限がなくて文字数の制限がゆるければ良いと思います
    逸般人しか使わないかも知れないけど

    • by Anonymous Coward on 2023年06月28日 10時57分 (#4485482)

      昔、M〇PPYってP活サイト使ってて、秘密の質問の答えに乱数から生成した16桁くらいの英数字使ってたのね。
      半年後にポイントを換えようとしたらアカウントロックされたので問い合わせたら
      「XXXXXXXなんて非常識な名前設定するな、今回は見逃してやるが次やったら永久にBAN」って感じの
      高圧的なメール来ていろんな意味でビックリした。

      親コメント
      • ハッシュ化前の入力情報を人間がみてるのがそもそも

        親コメント
      • by Anonymous Coward

        Moppyといえば、クリックしたら0.1円相当貰えるメールを送ってくるが、数週間前までURLのパラメータ部分がbase64使ってたなあ。
        メール消しちゃったら確認できないけど、あれ逆解読したらどうなるんだろ。

      • by Anonymous Coward

        P活をパパ活だと思って、生々しいこと書き込む人いるなあ、と思ってしまった。

    • by Anonymous Coward

      質問文自由表記にしたら、質問文のてにおはとか表記とかのミスで認証できなくなりそう。

  • by nemui4 (20313) on 2023年06月28日 8時34分 (#4485390) 日記

    ・使える文字種は全て使う必要がある(英大小数記号)
    ・秘密の質問に似たような設定
    ・X日毎にパスワード変更しないとダメ(90日くらい?)
    ・以前設定したパスワードは再利用不可

    この手のサービスにあたるとめんどくさい

    • by Anonymous Coward on 2023年06月28日 9時15分 (#4485412)

      それに加えて、セッション持続時間が短くて
      3日に1回はログインし直さなきゃならないサービスも
      個人的にはちょっと何とかならんのかねと思う。

      ‥と思うんだけど、やっぱセッション持続時間は短い方がいいに決まってるんだろうか?
      弊社のサービスもそうした方がいいのかなあ。。。

      親コメント
      • by Anonymous Coward

        >セッション持続時間は短い方がいいに決まってるんだろうか?
        これは状況によりますね。

        例えば滞在時間1回10秒程度のウェブアプリ系なら、セッションは何年でも続かないとダメです。
        再ログインめんどくさくなった途端二度と使わなくなります。
        レジ前で電子マネーアプリのバーコード出そうとしたら、今から電話かけて認証しろなんて表示してたらクレームだらけです。

        • by Anonymous Coward

          Tポイント/Tマネーの事かっ
          ※前は有料のナビダイヤルか何かへ電話しろとかふざけた仕様だったような。

    • by Anonymous Coward on 2023年06月28日 10時29分 (#4485468)
      文字種だの文字数だの再利用不可だのは、別に好きな制限を好きなだけつけていいと思うけど
      ・制限があるならそれを画面に書いとけ
      って思った
      親コメント
      • by Anonymous Coward

        首がもげるほど同意。

        特に制限書いてないんで英数記号64文字叩き込んで登録ボタン押したら「パスワードは英数20文字まで」とかエラー出してくるときなんか殺意が沸く。

        • それはまあ、親切な方でしょう。
          かつて出会ったのは、

          「パスワードが不適切です」(パスワードが長すぎただけ)
          「パスワードが単純すぎます」(パスワードジェネレータが生成した20文字のパスワードにたまたま数字が入ってなかった。こちらのミスではあるけど、エラーメッセージは妥当だろうか?)
          「パスワードは20文字以内です」(実際には、18文字が上限だった。CR+LF を含んで、20文字?)

          最悪だったのは、例によって何の制限も書いていなかったので、20文字くらいのパスワードを入力したら、何事もなかったように登録できた。その後ログインすると、パスワードを受け付けない。
          どうも、実際には文字数の制限があって、最初に入力したパスワードの後ろの方は切り捨てて処理されたけど、なぜか、ログイン時には、入力文字を全部使って処理をしたらしい(なので、パスワードは不一致)
          --
          ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
          親コメント
        • >特に制限書いてないんで英数記号64文字叩き込んで登録ボタン押したら「パスワードは英数20文字まで」とかエラー出してくるときなんか殺意が沸く。

          パスワードは英数4文字以上と書かれていて、長大な文字列を入れても先頭から8文字までしか認識処理してなかったのはあったっけ

          親コメント
        • by Anonymous Coward

          記号が必須だけど、使えるかどうかは投入してみないとわからないシステム、とかね。

    • by Anonymous Coward

      うちは60日でパスワード変更強制、英大文字・小文字・数字を使用、直近9回の使用パスワードは設定不可。
      みんな大文字小文字は固定で、末尾に0から9までの数字を順番に付け足してる。
      文字種を色々使わせるようにしてる意味がまるでない。
      絶対そうなるから制限見直したほうがいいって何度も言ってたけど変わる気配なくて諦めの境地。

      • >うちは60日でパスワード変更強制、英大文字・小文字・数字を使用、直近9回の使用パスワードは設定不可。
        >みんな大文字小文字は固定で、末尾に0から9までの数字を順番に付け足してる。

        うちは直近5回でした
        結局頭かお尻に年と月の数字(2306とか)つけたり
        わかりやすいルールで設定してしまう

        親コメント
        • by Anonymous Coward

          某市の「パスワードは英数文字含めた13桁」を思い出した

      • by Anonymous Coward on 2023年06月29日 0時21分 (#4485941)

        うちのしゃちょーは期限来て変えるときにいちどに4回変えることで過去三回と同じパスワードは使えない生源をクリアしてました

        親コメント
  • by Anonymous Coward on 2023年06月28日 9時25分 (#4485419)
    秘密の質問は第2パスワードとして使ってます
    質問される内容と関係なく任意の文字列を入力
    • by Anonymous Coward on 2023年06月28日 9時46分 (#4485433)

      同じく。漢字まで使えるから、ランダムな文字を割り当てると、かなり強力なパスワードになる。
      一般人は、ランダムに文字列を生成するのは難しいかもしれないけれど。

      親コメント
    • by Anonymous Coward

      母親の旧姓はansdkjnfjkdfasdfnで、小学校はaswfwfwefwefに通ってました、をそのままパスワード管理ソフトに突っ込んでる。

  • by Ooty (29466) on 2023年06月28日 9時47分 (#4485435) 日記
    使い方も含めて考える必要があるのではなかろうか?

    パスワードを忘れた際に、「秘密の質問の答え」と、「生年月日」を入力するだけでパスワードを再設定できるサービスがあって、「これはマズイ」と思った。

    パスワードを忘れた際に、「秘密の質問の答え」と、「生年月日」を入力すると、登録したメールアドレスへ「パスワード再設定用URL」が送られるサービスがあって、「まあ、そんなに重要なサービスでもないので、こんなものかな?」と思った。

    ログイン時に、時々「秘密の質問」に答えさせるサービスがあって、「どんなタイミングで質問してくるんだろう?」と思った。
    IPアドレスが変わったときとか、パスワード認証に失敗した後とかかも知れないが、毎月1回とかだとイヤだな。

    ログイン時に、毎回「秘密の質問」に答えさせるサービスがあって、「バカなことは止めろ」と思った。

    他に、どんなのがあったかな???
  • by Anonymous Coward on 2023年06月28日 10時28分 (#4485467)

    現在の端末を「いつも使う端末」として登録しますか?

    登録しても、次回アクセスした時に「いつも使う端末」として認識されない。
    一体どの情報で端末を識別しているのかわからない。

    • by Anonymous Coward

      あるある。
      で、再度「自宅デスクトップ」とかで登録しようとすると、名前被りで登録できなかったり。

  • by Anonymous Coward on 2023年06月28日 12時36分 (#4485542)
    春に関東圏の某国立大学のシステムが新しくなったんだけど、パスワードのペーストが禁止になってました。
    みんなキーボードで打てる簡単なパスワードにしてるんだろうなぁ
  • by Anonymous Coward on 2023年06月28日 8時15分 (#4485377)

    最近、PPAPを導入した我が社はりそなカードと50歩100歩なら50歩?

  • by Anonymous Coward on 2023年06月28日 8時24分 (#4485383)

    dカードだったかな
    その手の設定されていて辟易しました
    似たようなサービスでID/パスワード別管理のものが多すぎて
    認証のたびにどれについて聞かれているのかわからず使いにくい
    それぞれ別の部署や関係会社でやってるからそうなるのはわかるけど

    1. 本名
    2. 結婚などで姓が変った事が有るか?
    3. 「秘密の質問」は「母親の旧姓」か?
    4. 父親は婿養子か?
  • by Anonymous Coward on 2023年06月28日 9時02分 (#4485401)

    Windowsのセットアップの時に秘密の質問とか聞かれたような気がするんだけど
    あれって最近のでもあるんでしょうか?

  • by Anonymous Coward on 2023年06月28日 10時36分 (#4485472)

    今でも新規のサイト作成時に秘密の質問を導入しようって話が出てくる。
    理由は「みんながやってるから」。

    意味のないパスワードの2回入力と同じで、
    みんながやってるとなるとやらずにはいられないんだな。

    • 2回目のパスワード入力は、セッションハイジャックされたときに、そこで止めるということでは意味があると聞いた記憶も。
      その話ではない?
      --
      ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
      親コメント
    • by Anonymous Coward

      なぜおたくんとこには導入しないんですか、みたいなことを言ってくるお客様が居つくと、こうなるんだろうな

  • by Anonymous Coward on 2023年06月28日 12時11分 (#4485527)

    クレカの番号並みの扱いでいいじゃん

    ・16桁のID番号(うち上位六桁は固定、一桁はチェックデジットなので実質9桁)
    ・3桁のセキュリティコード
    ・番号は一回決めたら、請求があるまで数年間そのまま。なんならその後更新手続きしてもそのまま

    漏洩してもたかが500円のお詫びプリカで済むような情報なんだから、その程度の扱いで十分だろ
    無駄な手間かけさせんじゃねぇよ

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...