hayakawaによる
2008年08月30日 8時17分の掲載
ここまでするなら銀行側でパスワード払い出した方がよいのでは?部門より。
ここまでするなら銀行側でパスワード払い出した方がよいのでは?部門より。
あるAnonymous Coward 曰く、
BBCニュースに、銀行のパスワードを勝手に変えられてしまった顧客の話が載っている。本家/.でも取り上げられている。
英国のSteve Jetley氏は、旅行保険をめぐるロイズ銀行の対応に腹を立て、口座のパスワードを"Lloyds is pants"(ロイズは最低)」にしたところ、本人の知らないうちに行員によってパスワードが変更されてしまったとのこと。新しく設定されていたパスワードは、"No it's not"(そんなことはない)。銀行のコールセンターに問い合わせてこれを知ったJetley氏は、初めはなかなか笑えると思ったらしいが、改めて"Lloyds is pants"に戻そうとしたら「不適切」として認められなかったと立腹している。"pants"の代わりに"rubbish"(ゴミ)にしてみたが駄目で、ならばと思い"Barclays is better"(バークレー〈銀行〉の方がいい)にしようとしたが、それも認められなかった。さらに、「規則が変わったようで、(パスワードは)一単語でと言われたから"censorship"(検閲)にしようとしたが、気に入らなかったのか、今度は文字数は6文字以内と言われた」そうだ。
今回のパスワードは業務用口座の残高を確認するためのもので、複数人による使用が前提となっていた。ロイズ銀行によると、このケースの場合行員がパスワードを把握することが可能だそうだが、より複雑な取引を行う場合は当然セキュリティも厳しく管理されており、今回のようなことは起こり得ないとのことである。ちなみにJetley氏はまだ適切な(?)パスワードを考え中だそうだ。
パスワードは読取れてはいけない (スコア:5, すばらしい洞察)
パスワードって復号できない様にしておくものじゃないのかい?
内部犯行を防止する為にも可能なハードルはできるだけ置いておくものだろうに。
#暗号化したものが一致すれば良いので復号する必要は無い。
コメントを書く
Re:パスワードは読取れてはいけない (スコア:5, 参考になる)
どうやら音声パスワードらしい。
オペレータが音声パスワードを聞いてそれを入力・検証するとか。
それとは別の認証も同時に行う必要があるらしい。
今回の事件の一番の問題は
勝手にパスワードを変えられてしまったことなんじゃないかと。
コメントを書く
親コメント
Re:パスワードは読取れてはいけない (スコア:2, おもしろおかしい)
> オペレータが音声パスワードを聞いてそれを入力・検証するとか。
「それって、普通は『合い言葉』と言うんじゃ、、、」
「おーっ、それ password [excite.co.jp] のことネ!」
コメントを書く
親コメント
Re:パスワードは読取れてはいけない (スコア:4, 興味深い)
>内部犯行を防止する為にも可能なハードルはできるだけ置いておくものだろうに。
もちろんその方法がベストなのですが、昔大手のWebサイトの会員管理のシステムにかかわったことがありますが、
パスワードはプレインテキストでしたよ。
まぁ世の中そんなもんです・・・。
コメントを書く
親コメント
Re:パスワードは読取れてはいけない (スコア:4, 興味深い)
平文を送ってこれるということは、まず間違いなくそのものをDBに格納しているわけで…。
# 逆(平文保存していても一方向ハッシュで保存しているように振舞わせることはできる)はわかりませんけど
うっうー
コメントを書く
親コメント
Re:パスワードは読取れてはいけない (スコア:3, 興味深い)
あるというより、パスワードの再設定を煩わしいと思う顧客も多いんですよ。サポートに「元に戻しておいてくれ」とかね。
コメントを書く
親コメント
ログインパスワード6文字以内 (スコア:2, すばらしい洞察)
最近多いよね。
パスワードは8文字以上にしてくださいとか8文字以内にしてくださいとか、
数字と英字を両方使ってくださいとかなんだとか・・・
それぞれ全く別のパスなんて覚えきれんから、
重要度に分けて数パターンのパスワードを使いわけてるんだが、
たいして重要でもないサービスに英数混合8文字以上とか言われたらイラっとくる。
ジャパンネット銀行なんて、ログインパスワードに8文字以下・英数とかややこしい制限付けやがって
複雑なパスを作らせやがったくせに、
携帯でログインしようとしたらログインパスがキャッシュカードの4桁暗証番号って、
じゃぁパソコンでのログインもそれでいいわ!と思った。
#JNBisPantsに変更してやろうか。
##だめだ英数混合じゃないし8文字オーバーだorz
コメントを書く
Re:ログインパスワード6文字以内 (スコア:3, 興味深い)
コメントを書く
親コメント
Re:ログインパスワード6文字以内 (スコア:3, 興味深い)
- Web上のパスワード変更画面で,パスワードに空白を入れて(例:"foo bar")設定する.
- 認証画面で,設定したパスワード("foo bar")を入力すると認証が失敗する.
- 「CGIでは空白が'+'に変換される」ことを思いだす.
- 試しに空白を'+'に置換えたパスワード("foo+bar")を入力すると...認証が成功する.
コメントを書く
親コメント
Re:ログインパスワード6文字以内 (スコア:2, おもしろおかしい)
コメントを書く
親コメント
Re:ログインパスワード6文字以内 (スコア:2, 参考になる)
最近はMD5を使ってる(文字数制限無し)場合がほとんどでしょうけど
パスワードの暗号化にDESを使う、昔ながらの方法の場合は「先頭8文字のみ評価」です。
今でも互換性のために、パスワードの記録にDESは使えます。
(昔のパスワードファイルのエントリをそのままコピーしてくるとかが可能)
でもって、パスワードファイルのエントリがDESな場合は、パスワードを変えてもやっぱりDESのまま。
というわけで、私は今でも先頭8文字のみ評価されるのを承知の上で8文字超のパスワードを使ってたりします。
コメントを書く
親コメント
Re:ログインパスワード6文字以内 (スコア:2, 興味深い)
結局「パスワードのヒント」にパスワード丸書き(微妙に変えてあるけど)で対処になってます
コメントを書く
親コメント
危ない (スコア:2, おもしろおかしい)
コメントを書く
なんてことだ (スコア:1)
最悪でも、普通は登録前に弾くもんだろ……
コメントを書く
ロイズだめじゃね? (スコア:1)
・あまつさえ勝手に変えることができる
・パスワードに関する規則を勝手に変えてしかもそれを顧客に通知しない
・そしてパスワードの規則が弱い
はやくロイズを解約してバークレーに口座を移した方がいいと思うに十票。
名前からすると、ロイズ保険と関係ありそうな気もするけどないんかな。
Wikipdia [wikipedia.org]見ると、おおよそのあらましは分かるけど。
コメントを書く
Re:ロイズだめじゃね? (スコア:4, 興味深い)
ができないという事実
私は今月、三井住友銀行で口座番号のみから、残高を聞き出すことに成功しました。
キャッシュコーナーの備え付けの受話器をとって、担当者と通話したところ口座番号
と氏名のみを聞かれ、その日の夜に引き落とされる予定だったクレジットカードの
引き落とし予定額、引き落とし予定時刻、現在の残高を教えてくれました。
同じことを、サービスセンターに電話してきいたところ、電子取引のパスワードを
プッシュホンで入力するようにいわれ、生年月日と住所、氏名を確認されました。
このような対応マニュアルが徹底されているのは、ATM専用銀行、電子取引専用銀行、
電子取引担当者等に限られているようです。日本の銀行だからといって、システムの
仕様はオープンじゃないんだから期待しすぎてはいけない。
コメントを書く
親コメント
恥ずかしながら (スコア:1, 興味深い)
暗号化するなどして人には見えないようになっているもんだと思い込んでた。
今後もロイズ銀行とやらは絶対に利用しないと思いますが、パスワードは担当者に見られてしまうものなんだと肝に銘じなければ。
パスワード手帳(手書き)を作って、サービスごとに別のパスワードにするとか。
コメントを書く
Re:恥ずかしながら (スコア:3, 興味深い)
まず申込書をスキャンして画像としてサーバに保持し、
サーバ側で個々の項目について画像を切り出してクライアントに提示し、
それを入力させる、なんてことをしてるとこもあるみたいですね。
複数のデータ入力者に分散して入力させるので、データ入力者側で紐付けできない。
そういうのをやってるところがどれだけあるのかわかりませんけど。
コメントを書く
親コメント
頭文字にすれば (スコア:1)
>複数人による使用が前提となっていた
ってことなんで、仲間とは「 Lloyds is pants って覚えたら良いよ」って話せば実際変わらないし。(3文字のパスワードはさすがに短いけど、、)
コメントを書く
日本でも変えられます (スコア:1, 興味深い)
教えていない携帯電話の下四桁をどうやって知りえたのか問い詰めたい。
クレカの申し込みのあとに「不適切な暗証番号なので****に変えました」のハガキが来ましたが、IC付クレカでこれやられると現状最低な状況でして………たいていのカード会社はカードの有償再発行でしか変えられません。営業所に行けば変えられるところが数社。
このケースの場合は、当時UCがまだ営業所があったため無償で書き換える事ができましたが、その後UCはセゾンに買収され、営業所を全部潰されたので現在は有償交換のみのはず。
オマケに暗証番号取引は暗証番号管理義務を会員に課している関係で、補償の対象から外れます。買物で暗証番号を見られる、スキミングされるなどでバレたとしても、磁気カード時代のように簡単に変更できず、会員としては不利です。
コメントを書く
Re:日本でも変えられます (スコア:2, 興味深い)
試しに問い詰めてみればよかったのに。個人情報の入手経路は、本人からの要求があれば開示しなければならない、とされているので。
コメントを書く
親コメント
ルイズたんのパンツ (スコア:1, すばらしい洞察)
コメントを書く
現状は… (スコア:1)
コメントを書く
Re:で? (スコア:3, すばらしい洞察)
#全力で釣られてこそ漢
コメントを書く
親コメント
云いたいことは (スコア:1, おもしろおかしい)
「ぱんつ」と云いたいに決まってるじゃないですか!
コメントを書く
親コメント
Re:云いたいことは (スコア:2, すばらしい洞察)
コメントを書く
親コメント
Re:で? (スコア:1, すばらしい洞察)
金鉱みたいなもんだよ。
普通の(見る目を持ってない/興味を持ってない)人から見たら、
ただの石ころでしかないけど、そのうち0コンマ何パーセントか
金が含まれてて、ちゃんとほじくり出す技術を持ってる人には
宝の山になるのさ。
コメントを書く
親コメント