リマインダー機能を外せ 38
ストーリー by Oliver
どうしたものか 部門より
どうしたものか 部門より
yourCat 曰く、 "朝日新聞によると、警視庁は8日、リマインダー機能の改善を促す文書を、フリーメール業者やISPなど26社に対し送った。ユーザーがあらかじめ自ら設定した質問に答えることで本人照合・パスワードの再発行をするリマインダー機能を悪用した不正アクセスが相次いでいることを受けたもので、警視庁はリマインダー機能によるパスワードの再発行をやめるよう要請している。しかもパスワードを盗まれた側が設定していた質問が、Yes/Noで答えられる簡単な内容だったり、自分のプロフィール・ページに書いてある内容だったりと、お粗末なのが現状だ。あらかじめサービス提供側が質問文を用意し、ユーザーがその中から選ぶ方式のところもあるが、用意されているのは「母親の旧姓」「ペットの名前」など簡単な質問文が多い。
筆者も簡単な質問文を選ばされる某サービスでのパスワード再発行で、webページに新しいパスワードを表示され驚いた経験がある。"
朝日新聞のフリーメール「クラブA&A」 (スコア:3, すばらしい洞察)
もっと気になるのはその下に書かれているこれ:
どうやって「ユーザであることの確認」をしてくれるのだろうか?Passportのパスワード変更 (スコア:1)
この機能は要らないでしょう (スコア:1)
他人に分からない難しい質問を考えて覚えるくらいならパスワードをメモしておく方が簡単ですから。
アカウント名やメールアドレスをキーに、登録されているメールアドレスにパスワードを送付する方式の方が簡単で安全だと思うのですが、どうしてあのような機能があるんでしょうね。
Re:この機能は要らないでしょう (スコア:1)
Re:この機能は要らないでしょう (スコア:1)
自分のWebサービスに対する認識の足りない部分をよく知る事ができました。
主に"自分が簡単である事"ばかりに目が行っていたのが恥ずかしい限りです。
Re:この機能は要らないでしょう (スコア:1)
少しネットを突っ込んで使うようになったらば、メールアカウント付きのプロバイダ(携帯含む)に加入するでしょうに…というのは偏見?
必要です。(was Re:この機能は要らないでしょう (スコア:1)
他人に分からない文字列を普通の人が創造するなんて、数億人の人が複数のサービスを利用する時代に、無理だと思いませんか。
つまり、このハイテクナンチャラというところが新聞社に言っていることが、現実的でない。
新聞社は、物忘れの激しい普通の人が、リマインダーによって助けられた人が何人いたことを調査して記事を構成すべき。そして、そのサービスにもし入れなかったときに(郵便でパスワードを送ることによって間に合わなかった)、訴訟を含めて損害を被った場合の社会的損失を考えてみて下さい。
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
>人に分からない文字列」を設定しない人、つまり他人に推測され
>るような文字列を設定する人達を、極端に増加させていると思わ
>ないのですか?
全くおっしゃる通りです。
でも、パスワードを忘れる人は、たくさんいます。
リマインダー以外の方法で救済する方法が、郵送だけだとすると、使い勝手が悪くなりますね。
もちろん、使い勝手とセキュリティは相反する要件ですが。
Re:必要です。(was Re:この機能は要らないでしょう (スコア:4, すばらしい洞察)
- リマインダーを設置するときは必ず、リマインダーの答えを設定する箇所で、そのリスクについて説明を付ける。パスワードと同様に秘密の情報にする必要があることを説明する(説明されるまで気づかないユーザもいるのだから)。
- リマインダーの答えを入力した後、パスワードを直接画面に表示ではなく、メールで送信するようにする。パスワードを生で直接送付するのではなく、パスワード変更用の(セッションキー入り)URLを送付するのが望ましい。
- 他にメールアドレスを持たない人にはリマインダーを使わせないか、あるいは、リスクの説明を十分にした上でリマインダーを使わせる。
- リマインダーの設定を拒否できるようにする。(それができないところが多い。)
など。Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
実は、リマインダーを実装していたのですが、ペットの名前なんて説明で書いていて、こりゃ問題だー、と思っていたけど、みんなそうやって実装しているし。。。
それに、最後の「拒否できる」機能って必要ですね。リマインダーを実装していなくて、もしお客さんがパスワードを忘れたとき、システム側で迅速にフォローができなかったとき、もし、訴訟を起こされたらと考えると、他社の普通に実装しているレベルを実装せざるを得ない。。。っていうところで、悩んでいました。
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
そうそう。私はリマインダーの答えはキーをめちゃくちゃに
たたいてお茶を濁していますけど^^;。
なぜ、あんな単純な手順でパスワードのような重要な情報を
他人が知りえる手段を増やすのかずっと理解できなかったです。
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
つまり、何でせっかくその場で本人であることを確認した(形式的にせよ)というのに、必要な情報をわざわざそれとは切り離された別ルートにメールで送るのでしょう、ってことです。
こういう場合は、せっかく本人認証したんだからその場でパスワード変更させてしまわないと却って危険です。メールアカウントはおっしゃるとおり盗聴されているかも知れないし、あるいはPOPパスワードを盗まれて乗っ取られてしまっているかもしれないのだから、メールを受け取った人間とリマインダ認証に正しく答えた人間は別人かも知れない。おっしゃる方法ではそこをチェックする方法がありません。もちろん画面上で即変更を許しても完全にはチェックできてないんだけど危険性はぐっと低くなります。
逆に最初からパスワード(or変更用URL)をメールで送るのであれば、そこでリマインダ認証をする必要はないでしょう。パスワード(変更用)メールは、その送信を要求した人が誰であるかとはまったく関係なくそのアカウントの占有者に届くからです。
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
そうなんですか?弱いリマインダ設定は弱いパスワードと同様にセキュリティとして弱い、という当たり前の結論しか出てないと思いますけど。
>そのシステムなら、適当なユーザIDを与えて(中略)飛んでくるんではないですかね。
でたらめなIDが一定数入力されたらそのクライアントからのリクエストは無視するようにすればいい。というか、どの方式にも欠点はあるしそれを回避するには工夫がいるわけで、そんなのは当たり前です。
リマインダ機能でクライアント側にいるユーザがちゃんと認証をパスした、という前提であれば、そこからわざわざそれとは別の人間であるかもしれないメールアカウントの占有者にパスワード変更権を引き渡してしまうのは仕掛けとして危険ですよ、と言ってるのですけどね。
もちろん画面上で変更させてしまうのが安全かと言えば、認証をパスした人間とパスワードを変更する人間が多分同一時刻に同一クライアントのそばにいる人物である、多分一人の人物である可能性が高い、その分しか安全ではありませんが。
どうしてもリマインダ認証+メールで送付、という方式に固執するのであれば、せめて、リマインダ認証した直後に画面上に表示されるデータとメールで送付されれデータの両方がないとパスワードが変更できないようにするなどの、もう一段の工夫がないとダメだと思うんだけどなあ。
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
Re:必要です。(was Re:この機能は要らないでしょう (スコア:1)
これって結局「管理者の利便性」と「利用者のセキュリティ」をてんびんにかけた結果「管理者の利便性」を取ったために発生した事象ですよね。雪印とかと根は同じなわけで。
他人に分からない質問内容とその答えを創造する方がよっぽど困難だと思うんですが。個人的には、パスワードは「忘れてもいいから複雑なものを、忘れた場合は (何らかの「安全な」手段を経由して) 再発行するから」というルールを推奨したいです。 そうは考えない人の方が多いと認識していますけど。
ユーザの言われるままに (スコア:0)
たしかにユーザは大事だけれども、利口であるかどうかということとは関係ないし、社会全体を覆うような理知があるわけでもない。これは開発者にも言えることだけどね。
結局、本当にユーザーインターフェイスを考えるのであれば、そちらのほうの専門家の力はやはり不可欠と思います。
思いつきとか、どっかのマネとか、そういうレベルで事業が構成できる、と思うよな浅はかなやつが多すぎますね。とくにネット系企業とかいう人たちは。
Re:ユーザの言われるままに (スコア:1)
本筋ではないところの突っ込みで申し訳ないんですが、リマインダーというのは、ユーザの利便というよりも、ユーザサポート人員を削減するためのものだと思うのですが、どうでしょう。
そりゃニワトリとタマゴ (スコア:0)
全然違う答えにしますよね? (スコア:0)
基本的には、全く関係も意味もない答えを打ち込んでます。
Ex.母親の旧姓は?=>織田信長は銀行をあてにしない。
slashユーザーな方々は、さぞや複雑怪奇な答えにしていると予想されるので、問題ないと思いますが。
Re:全然違う答えにしますよね? (スコア:3, おもしろおかしい)
Re:全然違う答えにしますよね? (スコア:1)
その手の手法は、映画とかで簡単に破られてます。
それより、責任はシステムおよびシステムを提供する側でなくて、 利用者の方にあるのではないのでしょうか?
Re:全然違う答えにしますよね? (スコア:1)
と言うことで、Palm 等のパスワードストア用ソフトにパスワードを突っ込んで
そのソフトの暗号化機能に頼るのも手段かと。
本当に重要な奴(そのPalmwareのMaster Password等)は記憶に深く刻むのは基本ですね。
Re:全然違う答えにしますよね? (スコア:1)
御母堂の旧姓は荻足さん?
知らない人から見たら関連がない答えでも
自分にとっては問いから類推可能な答えじゃないと
僕なんかはダメですね。
手帳にメモしたとしてもメモしたページを忘れてたり。
Re:全然違う答えにしますよね? (スコア:1)
・打ち込みミスがおおくなるという欠点があります。
#これで手帳を耐火金庫にしまっておけば完璧なんですけど[笑]。
notice : I ignore an anonymous contribution.
Re:全然違う答えにしますよね? (スコア:1)
その退化^H^H耐火金庫ただ1つをアタックすれば済むことが判明してるなら
だいぶアタックしやすそうですね。
電子的に出来ないことをもってセキュリティと呼ぶなら、それはそれですが。
あと、モバイル耐火金庫も無いと、俺には役立たないなあ(^^;
家にいることのほうが少ないんで。
で、そんな軽量なものなら、まるごと盗まれて叩き壊されりゃ終わりだし。
つまりその案って、セキュリティを「家屋に」委ねてるんですよね。
Re:全然違う答えにしますよね? (スコア:1)
御意。
純物理的に来られたら対抗手段はありませんから。(ATMでさえ、本気でやられたら…)
セキュリティは一番弱いとこの強度で決まります。
パスワードは、より強固なレベルで守らないと意味ないです。
リマインダーは、書留郵便が一番です。
そこまでコストをかけられない場合、電子メールでしょう(できれば暗号化メールで)
・費用に関してはユーザ負担で構わないでしょう。
セキュリティってのは金のかかるモノだって事を自覚してもらうためにも。
<OFF-TOPIC>
>モバイル耐火金庫
やや大きめの車両のフレームに「防犯金庫」を溶接すればどうでしょう?
[mobile金庫(もーびるきんこ)]
</OFF-TOPIC>
notice : I ignore an anonymous contribution.
Re:全然違う答えにしますよね? (スコア:1)
ええ。そうなんですが、問題は強度という概念にも多面性がある(一次元ではない)、という点じゃないかなーと。
たとえば金庫なら(常人の)拳よりは強いですが、ものを「探そう」とする目に対しては弱い(あっさり見つかる)わけでして。
となると、ある程度以上小さい金庫ならば、壊せなくてもまるごと盗んでしまえば
あとでゆっくり壊しかたを考えればいい、というように、
縦で攻められないなら横から攻める的な手が有るだろうなあ、と。
セキュリティ入門の話とかでしばしば、盗人が支払う「コスト」という表現を見かけますが、
コストという一次元に換算することばかりを(初心者とはいえ)学ぶってのは、
どうなのかな?と、初心者なりに(笑)気にしてしまったりしました。
>やや大きめの車両のフレームに「防犯金庫」を溶接すればどうでしょう?
その車を駐車できるような駐車場を、俺の行く先々に(安価で)作っていただけるならば、考えます(^^;;;;;
いや、特別製の駐車場じゃなくて普通のでいいんですが、
とてもじゃないけど普通の車すら運転できるチャンスがなかなか無いような
暮らしをしてるもんで、無事故無違反無運転(笑)のゴールドカードちゃんです。
Re:全然違う答えにしますよね? (スコア:0)
この類のものをメモる主義じゃないので。
Re:全然違う答えにしますよね? (スコア:0)
いや、学生だった頃に彼の著作を1冊だけ読みまして、非常に大き
な衝撃を受けたわけです。
彼の著作はもう、これ以上読むべきでないと感じました。
あの作品のタイトルだけは、多分忘れないでしょうから。
Re:全然違う答えにしますよね? (スコア:1)
赤川次郎の著作の数は、辞書の単語の数よりはずっと少ないですから。
自分にとって特別でも、他人にとっては特別でなく重要なヒントとなる、典型的な例ですね。
ここに来る人たちならパスワードを度忘れするというこ (スコア:0)
Re:ここに来る人たちならパスワードを度忘れするとい (スコア:1)
>偽住所を入力しました
この状態では本人確認ができないのでは?
他人がパスワード忘れたといって来てもこれじゃ分かんないです。
こういう場合、ID抹消または停止した上で新規登録する以外の対応ってないような…
notice : I ignore an anonymous contribution.
Re:ここに来る人たちならパスワードを度忘れ (スコア:2, すばらしい洞察)
マスメディアとかがそういう調査やってくれないかなあ。