パスワードを忘れた? アカウント作成
235393 story
セキュリティ

パスワード再発行の「ひみつの質問」、「好きなディズニーキャラクターは?」はNG 96

ストーリー by hylom
母数が少なくて偏りすぎ 部門より

あるAnonymous Coward 曰く、

ウォルト・ディズニー・ジャパンが運営する「ディズニー・カードクラブ」から7月1日付で大切なお知らせが出ています。「サイト登録情報「ひみつの質問」についてのお知らせ」によりますと次のとおりです。

当サイトではセキュリティの観点から、パスワード再発行時に使用する「ひみつの質問」に『好きなディズニーキャラクターは?』をご使用のお客さまは、変更いただくことをおすすめいたします。また、新規登録の際は、『好きなディズニーキャラクターは?』の質問を選択することができませんので、ご了承ください。

どうしてこうなった?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by masakun (31656) on 2010年07月06日 12時20分 (#1790846) 日記

    ネズミの国よりスヌーピーが好きな ID がちょっと試してみた。当然のことながらカードクラブ会員ではない(登録にはディズニー★JCBカード [jcb.co.jp]が必要)

    ログインIDが分からない場合は「ディズニー★JCBカードインフォメーションセンター」に問い合わせてくださいということになっているので、これはいい。おそらく問題となるのはIDが容易に推測できちゃう場合。

    パスワード再発行画面 [disneycardclub.jp]でパスワードの再発行手続きに必要なものは次の3つ。

    • ログインID (「ディズニー・カードクラブ」サイトにログインするためのID) ※半角英数字3-10文字以内で入力してください。
    • ひみつの質問 「母親の旧姓は?」「ペットの名前は?」「好きなディズニーキャラクターは?」「あなたの出身地は?」「お父さんのお誕生日は?」から選択
    • ひみつの質問の回答(※全角20文字以内で入力してください。)

    ここでひみつの質問に「好きなディズニーキャラクターは?」を選択して「ひみつの質問の回答」にコリラックマとして、[ 次へ] ボタンを押し、さらに確認画面で[再発行]ボタンを押すと、

    ひみつの質問が一致しません。再度ひみつの質問を選択してください。
    ひみつの質問の回答が一致しません。再度ひみつの質問の回答を入力してください。
    [もどる]ボタンを押して再度入力してください。

    という画面が表示されて簡単に成否が分かってしまう上答えの再入力も手軽(コリラックマはサンエックス [san-x.co.jp]のキャラクター)。さらにディズニーのシリーズは17種類あるとはいえ、「ミッキーマウス」、「くまのプーさん」、「ベビーミッキー」、「スティッチ」、「トイ・ストーリー」といった有名どころから順次入力していけばクラックが比較的容易な設問である・・・ということを、外部の誰かに指摘されたんじゃないかな。

    実際にクラックされたとしたら問題だよな。クレジットカード情報が紐ついているんだもの。

    --
    モデレータは基本役立たずなの気にしてないよ
    • なんで母親は「母親」で、父親は「お父さん」なんだろ。
      というツッコミはともかく、設問の選択肢が少なすぎやしませんか。
      ペットを飼っていない場合や、親がいない場合は、
      回答が可能な設問自体が減ってしまいますし。
      好きなキャラクターより出身地の方がクラックしやすそうな気もします。

      こういう「秘密の質問」を利用する方式を採用する場合、
      「好き/嫌いな食べ物」のような、個人の事情に関係なく答えられる設問を増やすか、
      設問自体も各ユーザが設定できるようなシステムにした方がよいのではないかと。

      親コメント
      • ペットは飼ってませんがこの選択肢は結構使います。
        で、ペットの名前におおよそペットとは思えないものの名前を選択します。

        しかし各所で一々内容を変えますから、結局自分でも忘れます。

        まあ普通はパスワードを覚えてるし、本当にダメなら問い合わせて仮パスワードに
        変更してもらえますからね、大抵。
        親コメント
    • ひみつの質問 「母親の旧姓は?」「ペットの名前は?」「好きなディズニーキャラクターは?」「あなたの出身地は?」「お父さんのお誕生日は?」から選択

      「母親の旧姓は?」→ 親父が婿養子。
      「ペットの名前は?」→ いません。
      「好きなディズニーキャラクターは?」→ 非推奨。
      「お父さんのお誕生日は?」→ 覚ててない。

      選択肢が1つしか無い……

      親コメント
    • >「ミッキーマウス」、「くまのプーさん」、「ベビーミッキー」、「スティッチ」、「トイ・ストーリー」といった有名どころから
      つまりディズニーのキャラクターを入力しなければ
      絶対クラックされないってことでおk?
      #「ムスカ」で入れておこう。

      親コメント
    • by Anonymous Coward
      > 有名どころから順次入力
      「鐘」は何番目かなぁ?
    • by Anonymous Coward
      好きなディズニーキャラクターとして、実在するディズニーキャラクターを設定しておかないと駄目な仕様だったの?
  • もしかしたら (スコア:4, おもしろおかしい)

    by Anonymous Coward on 2010年07月06日 18時05分 (#1791063)
    もしかしたら、パスワード設定時から好きだったキャラが変わってしまって、
    何だったか分からなくなってしまったという可能性もありますね。

    ほら、我々だって1クールごとに嫁が変わることですし。
    • うちの妻の場合 (スコア:3, 参考になる)

      by Anonymous Coward on 2010年07月07日 8時50分 (#1791355)
      Yahooのアカウントを二つ持っていて、なぜか延々と会費を払い続けていた。
      結婚前にヤフオクで買う時に登録したらしい。
      1つのパスワードを忘れたので、もう1つ登録したらしい。

      当時のプロバイダは解約し、Yahooに登録していたメールアカウントは消滅
      していたため、パスワードリセットもできなかった。

      秘密の合言葉で、「よくドライブに行った場所は?」という質問を作り、
      登録したらしいが、「あっちだったかな、こっちだったかな」といろいろ
      入力してみるが、どれもダメ。
      そんな場所、あっちこっちにあるじゃないか。
      忘れてしまうリマインダーって無意味。

      Yahooのサポートに、こういう状態になった場合の解約方法を問い合わせてみるが、
      通常の解約方法を指示されるだけで、全く役に立たない。
      自力で解約不可能と判断したので、メールにて解約を申し出るが、完全無視。
      電話サポートでは解約できず。
      自動応答で解約までたどり着けずにループ。

      最終手段で、クレジットカードごと解約せざるを得なくなりました。

      なんでソフトバンクグループってこうなんだろう。
      親コメント
    • 嫁を紬や憂にしておいた俺は勝ち組 :-)
      嫁の期間がなんと 2 倍!!

      …まさに五十歩百歩? ^^;;;

      親コメント
      • Re:こんな事もあろうかと (スコア:2, おもしろおかしい)

        by PEEK (27419) on 2010年07月06日 20時40分 (#1791156) 日記

        俺の嫁なんていまだに綺、、、と書いてて気付いた。

        そうか、これがソーシャルハッキングか…

        --
        らじゃったのだ
        親コメント
        • だからこそ一夫多妻制でクラッカーを混乱させれば問題ないと :-)
          べっ別にセキュリティを考慮して大量のアニメをチェックしてるんじゃないんだからねっ!!

          まあさすがにキャラ名をパスワードやら秘密の質問の答えに使った事はないな。
          # ID には…あったような気がするけど気にしない事にしやう…
          てか秘密の質問の答えって質問内容に関係なくランダム列にするでそ???

          親コメント
      • >嫁を紬や憂にしておいた俺は勝ち組 :-)

        綾波レイ...なかなか勝ち組。
        森雪...勝ちすぎて負けた気さえする。
        ウランちゃん...基本中の基本かもしれない

        最近までリバイバルとか再製作されたのから...
        魔法少女系だと、サリーの亜流にしか見えないところがあるね。

        親コメント
    • by miishika (12648) on 2010年07月06日 23時44分 (#1791269) 日記
      皆様が「嫁」と呼んでいる女性は、女子高校生(相当)の年齢であることが多いのですが、先方のご両親にきちんと許可をとっていますか。
      親コメント
  • たぶん (スコア:4, おもしろおかしい)

    by ksiroi (24990) on 2010年07月06日 19時02分 (#1791103) 日記

    著作権侵害にひっかかったんd うん?アポなし来客は断れとあれほど…

    // 「利権に煩い黒鼠」って大量に登録されたゆえの措置、だったりして(:>^

  • 人気分布 (スコア:4, すばらしい洞察)

    by yosshy (3545) on 2010年07月06日 19時23分 (#1791118) 日記
    多分、
    1. ミッキーマウス...5割
    2. くまのプーさん...3割
    3. その他...2割

    ぐらいの分布になり、セキュリティ的に意味がなかったのでは。

  • by Anonymous Coward on 2010年07月06日 17時51分 (#1791048)
    パスワードを忘れたときのために、より強度の低いパスワードを設定するってナンセンスだよね。
    • by Anonymous Coward
      秘密の質問を登録しないといけないサービスに登録するときは、質問の内容にかかわらず(←ここ重要
      それっぽいパスワードを登録するようにしています。

      や、パスワード忘れなければいいわけですけど、何があるかわからないし…

      #でもリマインダ不要という選択肢はありだと思う
      ##そして不要にした人の「パスワード忘れたんだがどうすればいい?」という問い合わせが殺到…
      • by Anonymous Coward on 2010年07月06日 20時25分 (#1791147)

        秘密の質問にいつも「秘密の質問はご利用になりません + 乱数x桁」的なメッセージを入れてる俺に抜かりはないですね。忘れたら即死ですが。

        # むしろパスワードの命名規則がばれるとやばい。既に脳みそが限界(汗

        親コメント
  • そりゃ (スコア:2, すばらしい洞察)

    by PEEK (27419) on 2010年07月06日 17時34分 (#1791040) 日記

    ドロッセルお嬢様一択だからだろ。

    --
    らじゃったのだ
  • 逆に (スコア:2, 参考になる)

    by sakamoto (8009) on 2010年07月06日 23時28分 (#1791259) 日記
    誰もミッキーにしなかったので、ディズニー側がショックを受けてもみ消そうとしたとか。
    --
    -- 哀れな日本人専用(sorry Japanese only) --
  • by Anonymous Coward on 2010年07月06日 17時39分 (#1791041)
    その人の友人・関係者が本人の趣味嗜好を知っている、または公言しているような場合には秘密の質問の効果がなくなるからでしょう。
    逆に、ノーヒントでも限定されすぎて攻略の難易度は低いです。
    ある意味当然の措置かと思います。
    • もういっそのこと (スコア:2, おもしろおかしい)

      by Necky (36791) on 2010年07月07日 0時09分 (#1791280) 日記

      ひみつの質問の内容:
      1:「いままで友人にいえなかったこと」
      2:「いままで友人どころか両親にもいえなかったこと」
      3:「この秘密は墓場まで持っていかなければならないこと」

      くらいにしたほうがよさそうな気がします。

      # そして顧客情報流出でとんでもないことになるパターン

      親コメント
      • 1:「いままで友人にいえなかったこと」
        2:「いままで友人どころか両親にもいえなかったこと」
        3:「この秘密は墓場まで持っていかなければならないこと」

        それだと何年何月に登録したかまで覚えておかないと不便ですねw
        誰にも相談できないことや墓場までもっていかなきゃならん秘密はどんどん増えていますのでw

        ま、逆にふとしたことから発覚して公然の秘密になっちゃうこともありえますが(汗)

        # どっかのサイトの秘密の質問で「好きな映画は?」と聞かれたのに、何て書いたか思い出せず
        # 二度とログインしなくなったことがあるのでID

        --
        モデレータは基本役立たずなの気にしてないよ
        親コメント
    • by tyasuca (39589) on 2010年07月06日 19時22分 (#1791116)
      そもそもサイトでも見かける出身地や生年月日、母親の旧姓なんかも友人・関係者は知っているので、
      今更ながらセキュリティ的にはどうなのって思います。
      親コメント
      • by TonboDama (31248) on 2010年07月06日 23時31分 (#1791262)
        日本の不正アクセス禁止法では、パスワードが電話番号になっている場合、パスワード(識別符号)として守ってくれない可能性があるのでダメですよね。
        同様に出身地や旧姓なども怪しいですよね。

        かったぱしからアタックされて、突破されて際に攻撃者を法的に捕まえにくいかも知れませんね。

        http://journal.mycom.co.jp/news/2003/01/24/12.html
        親コメント
  • by Anonymous Coward on 2010年07月06日 17時45分 (#1791044)
    パスワードリセットの実被害が相当数出てるんじゃないですかね?
  • by Anonymous Coward on 2010年07月06日 18時03分 (#1791059)

    好きなディズニーキャラクターは?
    という質問には設定できなくなっても「出身地は?」「母親の旧姓は?」というところに好きなキャラクターを設定しておけば問題ないですね!

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...