いまになって「秘密の質問」を導入しようとしているWebサービス 85
ストーリー by nagazou
秘密 部門より
秘密 部門より
りそなカードは7月4日から、りそなカード《セゾン》会員専用WEBサービス「りそなNetアンサー《セゾン》」をリニューアルするそうだ。その際、新たな変更項目として「秘密の質問」の導入やワンタイムパスワードの設定、WEB明細への切り替えなどが必要になるという。秘密の質問に関しては、スラドでも以前から批判的な見方が出ているなどそのセキュリティー強度に関しては危険性が指摘されている。またYahoo! JAPANも2021年に廃止している(参考記事、その2)。
あるAnonymous Coward 曰く、
あるAnonymous Coward 曰く、
送られてきた郵便物を今更開封して気が付いたのだが、りそなカード《セゾン》に関するWebサイト「りそなNetアンサー」がリニューアルに伴って、今更ながら「秘密の質問」を導入しようとしている模様。今更「秘密の質問」って…、って当ACは感じてしまうのだが、ここに集う一般の皆様はどう思われるのでしょうか?
もしかして (スコア:5, おもしろおかしい)
ひみつの質問が全盛期だったころに発注したシステムが今頃になって完成しただけだったりして
Re: (スコア:0)
りそなグループはオンラインサービスのマイゲートのログイン時にさえ秘密の質問を必須としているので、ありえない話じゃないですね。
給与振込口座なので日々利用していますが、なんかズレてる感じ。
銀行屋は支店名と口座番号を区切って入力させるな (スコア:2, すばらしい洞察)
ユーザー名が2つあるような状況だと、大抵のパスワード管理ソフトは自動入力対応しないから毎回コピペしないといけないのでめんどくさい。
それともパスワード管理ソフトのプログラマーは銀行口座すら持ってないのかしら。
Re:銀行屋は支店名と口座番号を区切って入力させるな (スコア:1)
俺の知ってる大抵のパスワード管理ソフトは入力シーケンスを個別設定できるからそういうサイトにも対応できるけどな
あと、サイト側も一つめのテキストボックスに分割されたユーザー名をまとめて入れることを許容しているところもあるから試してみたら
Re: (スコア:0)
たまにクレジットカードを4桁区切りで入力させられるカートも、めんどくさいですね。
目視で入力する時に便利なんだとは思いますが、自動入力できなくてコピペさせられるのが・・・
秘密の質問じゃなくてヒント書かせてほしい (スコア:2)
めったに行かんとことかサーバ名変わったとかだとパスワード忘れるわ
IDがあってたときに出す俺向けヒント書かせて欲しい
秘密の質問で質問を自分でかけるのでもまあいい
Re:秘密の質問じゃなくてヒント書かせてほしい (スコア:2)
「サーバ名変わった」の時にダメなんですなぁ
ログイン口が複数あったりね…
良いと思いますよ (スコア:1)
どこだったか忘れたけど、
自分で設定した秘密の質問が表示されて
自分で設定した回答を入力する
認証方法を実装したサイトがあって、
秘密の質問がプルダウン選択じゃ秘密じゃないじゃんと思っていたら、あっという間にやめてしまったことがありました
質問と回答のペアを自分で設定できて、質問も入力式で文字種の制限がなくて文字数の制限がゆるければ良いと思います
逸般人しか使わないかも知れないけど
Re:良いと思いますよ (スコア:1)
昔、M〇PPYってP活サイト使ってて、秘密の質問の答えに乱数から生成した16桁くらいの英数字使ってたのね。
半年後にポイントを換えようとしたらアカウントロックされたので問い合わせたら
「XXXXXXXなんて非常識な名前設定するな、今回は見逃してやるが次やったら永久にBAN」って感じの
高圧的なメール来ていろんな意味でビックリした。
それってすごくおかしくない? (スコア:1)
ハッシュ化前の入力情報を人間がみてるのがそもそも
Re: (スコア:0)
Moppyといえば、クリックしたら0.1円相当貰えるメールを送ってくるが、数週間前までURLのパラメータ部分がbase64使ってたなあ。
メール消しちゃったら確認できないけど、あれ逆解読したらどうなるんだろ。
Re: (スコア:0)
P活をパパ活だと思って、生々しいこと書き込む人いるなあ、と思ってしまった。
Re: (スコア:0)
質問文自由表記にしたら、質問文のてにおはとか表記とかのミスで認証できなくなりそう。
パスワード設定とか (スコア:1)
・使える文字種は全て使う必要がある(英大小数記号)
・秘密の質問に似たような設定
・X日毎にパスワード変更しないとダメ(90日くらい?)
・以前設定したパスワードは再利用不可
この手のサービスにあたるとめんどくさい
Re:パスワード設定とか (スコア:1)
それに加えて、セッション持続時間が短くて
3日に1回はログインし直さなきゃならないサービスも
個人的にはちょっと何とかならんのかねと思う。
‥と思うんだけど、やっぱセッション持続時間は短い方がいいに決まってるんだろうか?
弊社のサービスもそうした方がいいのかなあ。。。
Re: (スコア:0)
>セッション持続時間は短い方がいいに決まってるんだろうか?
これは状況によりますね。
例えば滞在時間1回10秒程度のウェブアプリ系なら、セッションは何年でも続かないとダメです。
再ログインめんどくさくなった途端二度と使わなくなります。
レジ前で電子マネーアプリのバーコード出そうとしたら、今から電話かけて認証しろなんて表示してたらクレームだらけです。
Re: (スコア:0)
Tポイント/Tマネーの事かっ
※前は有料のナビダイヤルか何かへ電話しろとかふざけた仕様だったような。
Re:パスワード設定とか (スコア:1)
たぶんその考え方から間違ってる。
セッション持続時間の設計はリスクと利便性のトレードオフで、Webサービスならこの長さが最適という括りはできない。
セッション持続時間は短い方が安全には決まっている。安全なだけではダメなのか?ということ。
ユースケースで妥当な長さは異なる。どう使われるかという基本的思考はWebサービスという枠組みより広い考え方が要る。
Re:パスワード設定とか (スコア:1)
わかってないな。「アプリの一般的な」という考え方ではダメなの。
例えば「金融系」「コンテンツ系」ならまだ領域を分けた話はできるが、アプリやWebサービスという括りはその両者を横断していて、
結局「すべてのサービスにおいてセッション持続時間は短い方がいいに決まってるんだろうか?」という問いになってしまう。
この議論においてアプリがWebかという切り分けは全く意味が無いんだよ。
「金融系」「コンテンツ系」とは言ったけど、その切り分けも別に良いという程でもない。「状況によりますね。」の方が正しい。
Re: (スコア:0)
こういう余計な言葉をつけると、マイナスモデされちゃうよ。>周回遅れ。
Re: (スコア:0)
Webサービスでもタブを何十個も開いたまま、ブラウザにクッキー残しっぱなしの人たちは状況同じですよ。
Re:パスワード設定とか (スコア:1)
・制限があるならそれを画面に書いとけ
って思った
Re: (スコア:0)
首がもげるほど同意。
特に制限書いてないんで英数記号64文字叩き込んで登録ボタン押したら「パスワードは英数20文字まで」とかエラー出してくるときなんか殺意が沸く。
Re:パスワード設定とか (スコア:3)
かつて出会ったのは、
「パスワードが不適切です」(パスワードが長すぎただけ)
「パスワードが単純すぎます」(パスワードジェネレータが生成した20文字のパスワードにたまたま数字が入ってなかった。こちらのミスではあるけど、エラーメッセージは妥当だろうか?)
「パスワードは20文字以内です」(実際には、18文字が上限だった。CR+LF を含んで、20文字?)
最悪だったのは、例によって何の制限も書いていなかったので、20文字くらいのパスワードを入力したら、何事もなかったように登録できた。その後ログインすると、パスワードを受け付けない。
どうも、実際には文字数の制限があって、最初に入力したパスワードの後ろの方は切り捨てて処理されたけど、なぜか、ログイン時には、入力文字を全部使って処理をしたらしい(なので、パスワードは不一致)
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re:パスワード設定とか (スコア:1)
>特に制限書いてないんで英数記号64文字叩き込んで登録ボタン押したら「パスワードは英数20文字まで」とかエラー出してくるときなんか殺意が沸く。
パスワードは英数4文字以上と書かれていて、長大な文字列を入れても先頭から8文字までしか認識処理してなかったのはあったっけ
Re: (スコア:0)
記号が必須だけど、使えるかどうかは投入してみないとわからないシステム、とかね。
Re: (スコア:0)
うちは60日でパスワード変更強制、英大文字・小文字・数字を使用、直近9回の使用パスワードは設定不可。
みんな大文字小文字は固定で、末尾に0から9までの数字を順番に付け足してる。
文字種を色々使わせるようにしてる意味がまるでない。
絶対そうなるから制限見直したほうがいいって何度も言ってたけど変わる気配なくて諦めの境地。
Re:パスワード設定とか (スコア:1)
>うちは60日でパスワード変更強制、英大文字・小文字・数字を使用、直近9回の使用パスワードは設定不可。
>みんな大文字小文字は固定で、末尾に0から9までの数字を順番に付け足してる。
うちは直近5回でした
結局頭かお尻に年と月の数字(2306とか)つけたり
わかりやすいルールで設定してしまう
Re: (スコア:0)
某市の「パスワードは英数文字含めた13桁」を思い出した
Re:パスワード設定とか (スコア:1)
うちのしゃちょーは期限来て変えるときにいちどに4回変えることで過去三回と同じパスワードは使えない生源をクリアしてました
第2パスワード (スコア:1)
質問される内容と関係なく任意の文字列を入力
Re:第2パスワード (スコア:1)
同じく。漢字まで使えるから、ランダムな文字を割り当てると、かなり強力なパスワードになる。
一般人は、ランダムに文字列を生成するのは難しいかもしれないけれど。
Re: (スコア:0)
母親の旧姓はansdkjnfjkdfasdfnで、小学校はaswfwfwefwefに通ってました、をそのままパスワード管理ソフトに突っ込んでる。
秘密の質問の使い方 (スコア:1)
パスワードを忘れた際に、「秘密の質問の答え」と、「生年月日」を入力するだけでパスワードを再設定できるサービスがあって、「これはマズイ」と思った。
パスワードを忘れた際に、「秘密の質問の答え」と、「生年月日」を入力すると、登録したメールアドレスへ「パスワード再設定用URL」が送られるサービスがあって、「まあ、そんなに重要なサービスでもないので、こんなものかな?」と思った。
ログイン時に、時々「秘密の質問」に答えさせるサービスがあって、「どんなタイミングで質問してくるんだろう?」と思った。
IPアドレスが変わったときとか、パスワード認証に失敗した後とかかも知れないが、毎月1回とかだとイヤだな。
ログイン時に、毎回「秘密の質問」に答えさせるサービスがあって、「バカなことは止めろ」と思った。
他に、どんなのがあったかな???
Re: (スコア:0)
素敵なポエムですね
いつも使う端末 (スコア:1)
現在の端末を「いつも使う端末」として登録しますか?
登録しても、次回アクセスした時に「いつも使う端末」として認識されない。
一体どの情報で端末を識別しているのかわからない。
Re: (スコア:0)
あるある。
で、再度「自宅デスクトップ」とかで登録しようとすると、名前被りで登録できなかったり。
某国立大学 (スコア:1)
みんなキーボードで打てる簡単なパスワードにしてるんだろうなぁ
PPAP (スコア:0)
最近、PPAPを導入した我が社はりそなカードと50歩100歩なら50歩?
docomoも (スコア:0)
dカードだったかな
その手の設定されていて辟易しました
似たようなサービスでID/パスワード別管理のものが多すぎて
認証のたびにどれについて聞かれているのかわからず使いにくい
それぞれ別の部署や関係会社でやってるからそうなるのはわかるけど
極めて個人的な理由で漏洩されるとマズい事になる「秘密の質問」関係の個人情報 (スコア:0)
Re: (スコア:0)
5. 支持政党は?
6. 本当の性とインターネット上の性は一致しているか?
7. どこの星から来たか?
8. 真名
7, 8は地球の文字で表せない可能性もあるか。
Re:極めて個人的な理由で漏洩されるとマズい事になる「秘密の質問」関係の個人情報 (スコア:1)
9. あなたの性癖は
そういえば (スコア:0)
Windowsのセットアップの時に秘密の質問とか聞かれたような気がするんだけど
あれって最近のでもあるんでしょうか?
Re:そういえば (スコア:2)
ありますよ。
答えは全部「1」とかにしてる。
Re:そういえば (スコア:1)
ありますよ。
答えは全部「1」とかにしてる。
だめですね人生、宇宙、すべての答えは42です
みんながやってるから (スコア:0)
今でも新規のサイト作成時に秘密の質問を導入しようって話が出てくる。
理由は「みんながやってるから」。
意味のないパスワードの2回入力と同じで、
みんながやってるとなるとやらずにはいられないんだな。
Re:みんながやってるから (スコア:2)
その話ではない?
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
なぜおたくんとこには導入しないんですか、みたいなことを言ってくるお客様が居つくと、こうなるんだろうな
クレカのサイトなんだから (スコア:0)
クレカの番号並みの扱いでいいじゃん
・16桁のID番号(うち上位六桁は固定、一桁はチェックデジットなので実質9桁)
・3桁のセキュリティコード
・番号は一回決めたら、請求があるまで数年間そのまま。なんならその後更新手続きしてもそのまま
漏洩してもたかが500円のお詫びプリカで済むような情報なんだから、その程度の扱いで十分だろ
無駄な手間かけさせんじゃねぇよ