statの日記: ユーザー名 = メールアドレス名はダメなの? 57
日記 by
stat
15年ほど利用しているインターネットプロバイダからユーザー名を変えろという連絡が来た。
従わなければプロバイダ側で勝手に変えるという。
どういう事かというと、以前はそのプロバイダではユーザー名が "hoge" なら、メールアドレスは "hoge@メールサーバー名" だったんだけど、メールアドレスから判明するユーザーIDが不正に利用される事件が多発してるんでユーザー名 ≠ メールアドレス名にしろという話。
趣旨はよくわかる。世の中の hoge さんには "hoge1234" とか "hogehoge" とかのエントロピーの小さなパスワードを使ってる人がゴマンといるから、ユーザー名が判ればちゃちなパスワード攻撃でもそれなりに成功するんだろう。
でも俺の場合使ってる環境が10カ所くらいあるから、ユーザー名を変えると設定変更がすごい手間なんだけどなあ。ちゃちなパスワードを使う奴のせいで、いらん手間を被るのはかなわんなあ。
で、予言するが、ちゃちなパスワードを使っている hoge さんが新しく変えるユーザー名は hoge2 か newhoge だ。そんでもってパスワードは相変わらず hoge1234 だ。(hogeqwertyかも)
従わなければプロバイダ側で勝手に変えるという。
どういう事かというと、以前はそのプロバイダではユーザー名が "hoge" なら、メールアドレスは "hoge@メールサーバー名" だったんだけど、メールアドレスから判明するユーザーIDが不正に利用される事件が多発してるんでユーザー名 ≠ メールアドレス名にしろという話。
趣旨はよくわかる。世の中の hoge さんには "hoge1234" とか "hogehoge" とかのエントロピーの小さなパスワードを使ってる人がゴマンといるから、ユーザー名が判ればちゃちなパスワード攻撃でもそれなりに成功するんだろう。
でも俺の場合使ってる環境が10カ所くらいあるから、ユーザー名を変えると設定変更がすごい手間なんだけどなあ。ちゃちなパスワードを使う奴のせいで、いらん手間を被るのはかなわんなあ。
で、予言するが、ちゃちなパスワードを使っている hoge さんが新しく変えるユーザー名は hoge2 か newhoge だ。そんでもってパスワードは相変わらず hoge1234 だ。(hogeqwertyかも)
メールアドレスを変えろ? (スコア:1)
だとしたら大変ですね。
どっちかといえばIDの変更できるのが合理的というか、けっこう変更できるサービスありますしねぇ...
# 最初文章からユーザー名 != メアドアカウント名 && ユーザー名変えろから、ログイン用IDを変えろだと思ったw
M-FalconSky (暑いか寒い)
Re:メールアドレスを変えろ? (スコア:2)
ユーザー名を変えるのがイヤならメールアドレスのほうを変えてもいいよという選択肢も用意されてるのですが。
Re:メールアドレスを変えろ? (スコア:1)
ログインIDはそのままでメールアドレスを変更できるが、ログインIDだけ変えてメールアドレスは引き継ぐという選択肢はないということですね?
Re: (スコア:0)
そのISPはこんなことを言い出すならログインIDを変更してメールアドレスはそのエイリアスにすればいいのに。
昨日今日始めたISPじゃあるまいし、その程度のquick hackはできるだろうに。
企業だと普通にありますよね。
ログインIDは従業員番号に適当なプリフィックスサフィックスで生成、
メールアドレスは johnsmith@example.com としているパターン。
Re: (スコア:0)
自分のところにも最近似たような通知が来ましたが(同じISPかも?)、
そこの「ユーザー名」は、オンライン手続き等を利用するときに必要となるものだそうで、
ISPのホームでログインするときぐらいしか使わない「ユーザー名」でしたよ。
自分は変えろと通知があった「ユーザー名」とそのパスワードしか変えてないですが、
メールの設定はそのままでメール受信できてますし、
接続用のIDも変えてないですが、こうやってネットにつながってます。
Re:メールアドレスを変えろ? (スコア:1)
なんやかんやで、3時間くらいの作業になりそうです。
15年使っているというと since 1997 なんだな (スコア:1)
わたしもそのくらいの利用歴だから自分の使っているところにも波及しないかと多少気になる。たぶんならないで済むんだと思うけど。
// どういう高度な交渉力を行使したのかごく少数の例外を除いて example.or.jp なISPサービス業者は example.ne.jp になった時にならなかったことを念頭に。
Re:15年使っているというと since 1997 なんだな (スコア:1)
別にJPNICはne.jpドメインへの移行を強制していませんよ。
参考:移行の経緯 [nic.ad.jp]
参考:FAQ [nic.ad.jp]
JPNICからのお願いに素直に応じて移行したところもあると思いますが、
or.jpは1団体につき1つしか取得出来ないのでサービスごとに複数ドメインを取得することを念頭にne.jpへ移行したところもあるでしょうし、
NITFY(niftyserve.or.jp -> nifty.ne.jp)の例なんかはドメイン名を短くする/サービス名を改める良い機会と思ったのかもしれませんね。
参考:ne.jpへの移行リスト [nic.ad.jp]
Re:15年使っているというと since 1997 なんだな (スコア:1)
そうだったのか。「お願い」がまるで魔法の世界みたいなあまりに強い実効性を有していたので事実上の強制力だと受け取ってました。事実誤認の指摘感謝します。てっきりJNIC/JPNICのギアスかと。
Re: (スコア:0)
niftyの20年来のユーザだが、未だにメールアドレスを USER-ID@nifty.or.jp (neじゃなくてorね)
と間違って悲しい思いをする事がある。
Re: (スコア:0)
懐かしい話だのぉ
Objection!‼ (スコア:1)
プロバイダ側にdomain名前を、@hogehoge.jpから@mail1.hogehoge.jpに変えてもらうという提案はいかがでしょう?
痛みはともに分かち合うということで。
# 解決にはなっていないかもしれないが、提案は無料。
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:Objection!‼ (スコア:1)
結局、ユーザー名を今使ってる stat から stat2 に変更することにします。
Re:Objection!‼ (スコア:1)
予言した悪い例を自ら踏襲する上それをこの場で公開するとかw
Re:Objection!‼ (スコア:1)
ユーザー名を公開しても、パスワードには他人から推察される文字列を使わなければ全然問題ないと思います。
でも、世の中「hoge1234」の人多いですよねえ。PCのトラブルシュートを頼まれたりして知る他人のパスワードで、堅いパスワードってあまり見ないです。
本当は ユーザー名=メールアドレス名 は間違っていない!弱いパスワードを使う奴が悪だ! と強く主張したいんだけど、それは現実から離れた主張の気がします。
Re:Objection!‼ (スコア:1)
今回の件も、ログインIDやメールアドレスよりまずはパスワードを変えろと通知すべきでは。
IDにある文字列を使えないという縛りだけでも直接の問題は解決できるような。
#避けた結果が弱いパスワードでも知ったことではない。変更しないとか無視して再度IDを含ませるってのも。
Re: (スコア:0)
パスワードは辞書攻撃に耐える堅いのを使ってるから大丈夫です。
その大丈夫はあてにならないので改めてください。
セキュリティに大丈夫はありません。
大丈夫だと思ったところに落とし穴があるんです。
Re: (スコア:0)
というかプロバイダも立場上促しているだけで
不正利用されても自己責任で文句は絶対言いません、
とでも伝えれば?
Re: (スコア:0)
自分は、サービス側が(文字種と文字数)許す限り、ランダム文字列を50文字で作ってるんですが、それでも大丈夫じゃないですか?
絶対はないですが、大丈夫だとは思うのですが。
Re: (スコア:0)
過信しない方が。
http://security.srad.jp/story/12/09/22/0831222/ [srad.jp]
Hotmailのパスワードは先頭16文字だけが認証に使われる
Re: (スコア:0)
何兆分の一くらいの確率で、そのランダム50文字が偶然聖書の一節と同じになる可能性が!
Re: (スコア:0)
そして忘れないようにポストイットに書いてディスプレイに張ってあるんですな?
Re: (スコア:0)
> Hotmailのパスワードは先頭16文字だけが認証に使われる
マイクロソフトアカウントでもそのままですね。
# たった今、変えてみた。
とは言え、英数字と記号が使えるのでランダム性を確保できていれば、それほど気にする事ではないのでは?
単純に文字の個数の16乗を取ってみれば、総当たり攻撃が無意味なくらいの値になりませんか?
ローカルのアカウントデータベースが抜かれたら別でしょうけれど、Hotmailアカウントなので、総当たり攻撃の手段はWeb経由しかないはず。
そうなると、特に価値のあるアカウントであればと
Re: (スコア:0)
$とか@とか%とか聖書に出てくるんですか。
Re: (スコア:0)
でも何が大丈夫じゃないかは言えないんですね。わかります。
Re: (スコア:0)
> その大丈夫はあてにならないので改めてください。
ひじょーに興味があるので、「辞書攻撃に耐える堅いの」がだめな理由をぜひとも。
当然だけれど、「辞書攻撃に耐える堅いの」という主張が偽であるケースは論外ね。
あと、パスワードをさらしているとか、通常ログイン経路以外の穴があるケースも無しね。
Re:Objection!‼ (スコア:1)
「高さ50mの堤防を49.5mに削る行為だからやめろ」くらいの意味かもしれません。
あるいは、パスワードを保管してる側が「長さ50文字を受け付けるけど判定に使うのは3文字だけ」とかいうふざけたシステムであることを心配しているのかも!
Yahooだと (スコア:1)
アカウント名=メールアドレス名=ブログのURL
だからブログ開設→スパム来放題というダメダメ仕様だったり。
URLはさすがに変えたい。
Re:Yahooだと (スコア:2)
アカウント名とは別のメールアドレスに変更できると思ったが。
Re: (スコア:0)
ニックネーム作ってメアドを nickname@yahoo.co.jp とすればいいんじゃないの?
http://help.yahoo.co.jp/help/jp/profiles/profiles-03.html [yahoo.co.jp]
メアドを nickname@yahoo.co.jp にすると ID@yahoo.co.jp にメール送っても届かなくなる。
うちの環境だけなのかなあ。
どこぞの大学では (スコア:0)
アカウント名=メールアドレス名
だったり。
しかも名前のローマ字綴りから自動生成されるすぐれもの。
foo barさんの場合、foo.bar@hoge.ac.jpみたいに。
関係なくはないけど、変えろと強制されるのもなあ (スコア:0)
「あらゆる個人情報をハッキングされたWIRED記者が考えるセキュリティ問題」の事件も、
キッカケの一つは複数のE-mailアドレスやアカウントの名前が同じからだったはず
http://apple.srad.jp/story/12/08/07/0947250/ [srad.jp]
http://wired.jp/2012/08/14/amazon-apple-security-hacked/ [wired.jp]
「ユーザー名=E-mailアドレス名」というよりは、
「あっちでもこっちでも全部同じhoge1234を使い続ける」のはあんまり良くないとは思う。
でもセキュリティの本質ではないし、「メアド≠名前」にしたからと言って解決する問題でも無い。
ましてE-mailアドレスを今更変更しろというのも酷な話だよね。
影響範囲が広すぎるもの。
G-mailみたいに2 段階認証プロセスを入れる方が良いと思うが、
一般のプロバイダだと追加投資は難しいのかもしれないし、
ユーザーに強制するのも難しい。
Re: (スコア:0)
キッカケの一つは複数のE-mailアドレスやアカウントの名前が同じからだったはず
その通りです.
でもそこまでご存じなのに,
でもセキュリティの本質ではないし
と続けられるのは違和感がありますよ.
明らかに原因の一つで,
ましてソーシャルハッキングが社会問題になりつつあるのに.
Re: (スコア:0)
実際に突破口になったこと(仕様ミスなどのセキュリティホールがある)とセキュリティの本質であるかどうかはまた違いますからね。
この件はパスワードがなくても本人認証を抜けてしまう道があるって事が問題で、利用している複数のサービスのアカウント名だけばれた状態でセキュリティが回避されてしまうのがおかしい。
実際問題としては用心のためにアカウントを共通にしないという対策は有効だと思いますけど。
ただ、これは本当の誕生日を登録しない、みたいなノウハウであって、セキュリティを担保するための本質的な行動ではないです。
どちらかと言えば利用するサービスの不備に備えた不自然な行動です。
パスワードが他人にばれないようにする、というのはそれを前提にセキュリティが組まれているので本質ですが、誕生日が秘密である、
なんてのをセキュリティの前提にしてたらそっちの方がおかしいでしょう? パスモの件とかありましたけど。
So-netでの例 (スコア:0)
で、ユーザ名を変更しました。
これまでは
メールアドレスに用いる [メールアカウント名]@サブドメイン.so-net.ne.jp の
[メールアカウント名]=
"ユーザID"でした。
なので、ご指摘のとおり ユーザIDが hoge であれば メールアドレスは hoge@サブドメイン.so-net.ne.jp でした。
しかし、メールアカウント名とユーザIDとを同一にする必要はない(&メールアカウント名も変更可になっている)ので、ユーザIDを変更しても既存のメールアカウント名はそのまま使用できます。
つまり、ユーザIDを foobar に変えてもメールアドレスは hoge@サブドメイン.so-net.ne.jp のままでOKです。
メールの案内をよく読むと、旧来のユーザアカウントのデフォルト設定(ユーザID=メールアカウント名)の状態では、ユーザIDが知られると自動的にメールアカウント名が推測可能で、そのリスクを低減させるためにも少なくともユーザIDを変更してくれ、変更しないままだとプロバイダ側で強制変更するよ、という主旨でした。
なのでユーザIDだけ変更しときました。
少なくとも、メールアドレスを変更しろの内容は含まれていませんでした。
メールアドレスの変更が強要されるのは辛いですね。
同様の案内は他のプロバイダでもアナウンスされているんでしょうかね。
Re: (スコア:0)
同じくso-netで、ユーザーIDを変更しました。
最初は心配だったのですが、影響は全く無かったです。
メールアドレスがそのまま使えるのは、よく考えてあるなと関心しています。
Re:So-netでの例 (スコア:1)
すごく古い話なので記憶があやふやなのですが。
niftyserveでe-mailが普通に使えるようになって、メールアドレスを"本名@nifty.co.jp"に変えさせられてエライ困ったことがあります。
リアルな知り合いとメールをやり取りするならいいけど、お互い本名その他よく知らない人や組織といきなり本名でメールをするのは敷居が高かった。
#別に怪しいことしてたわけでもないけど。
他にも選択肢があったけど、猶予期間内に手続きできずそうなったのか、選択肢もなくそうさせられたのかすら覚えてない。
で、結局当時他に契約していた地方のインターネット・プロバイダ側で取得したメールアドレスを普段使ってniftyでのメールはほぼ使わなくなってた。
その後本名以外に変更できるようになってたけど、もうなんだか使いたくなくてそのまま放置。
niftyの本名アドレス (スコア:1)
ずっとニフティを使ってますが、本名ベースのアドレスを強制されたことは無いような気が・・・。
アドレスを割り当てはじめる際に、本名ベースの場合、他者とかぶることがあるので、必要なら早めに申請した方が良いという通知をもらった記憶はあるのですが。
/*
自分では珍しい名前だと思っていたけど、googleで検索すると、数人ヒットするし、Wikipediaにまで(他人の)記事があってびっくり・・。
本名ベースのニフティ・アドレスは、通販みたいに個人情報とひもづけられる場合のメアドとして使ってます。
でも、通販で使うと大量の広告メールが来てしまうんだよね。
*/
Re:niftyの本名アドレス (スコア:2)
正式には XXX の部分は大文字なのだが、 小文字じゃないと入力させてくれない事が時々ある。
Re:niftyの本名アドレス (スコア:1)
あるある。
小文字でも届くんで困ってないけど。
あとサポートに聞いた話ですけど、XXX99999@nifty.ne.jpとXXX99999@nifty.comは
同じメールボックスで、どちらのアドレスも使えるそうです。
どっちがエイリアスかは知りませんが。
Re:niftyの本名アドレス (スコア:1)
>アドレスを割り当てはじめる際に、本名ベースの場合、他者とかぶることがあるので、必要なら早めに申請した方が良いという通知をもらった記憶はあるのですが。
もしかしたら、その通知が来て勘違いして他人とかぶるとダメかと思ってそのまま申請したのかもしれない。
祖父の土地にはそこそこある苗字だけど全国的に見たら少ないしネットではほぼ自分以外ひっとしないんだから、どうでも良かったはずなんだけど。
ちょっと話が変わるけど (スコア:0)
会社のメールアドレスで、例えば「社員番号@会社のドメイン」なんていうのを割り当ててると、結構やばいよね。
社屋に入ることができれば、社内の文書連絡システムと紙の申請書を使って、個人攻撃が簡単にできてしまう。
外部に晒すアドレスは、人事関係のコードとは切り離した方が無難。
Re:ちょっと話が変わるけど (スコア:1)
っていうか、毎朝タイムカード代わりに職員番号とパスワード(休暇申請年末調整その他で使うものと同一)をwebで入力させられて
そのうちちょっと悪いこと考えるやつが出てきたらIDとパス盗み取られて勝手に有休取られたりするんじゃないかと。
打ってる回数が多ければそれだけ危険性も増すわけで。
#そんなシステムを外注してるWの恐怖gesaku
Re:ちょっと話が変わるけど (スコア:1)
どこぞの会社の、外部から接続可能なとあるwebサーバでは、会社のメールアドレスの
useridがそのままログインIDにつかわれてて、それはどうかと思っている次第ですよ…
ちなみにグループウェアやwebメールでは暗号化一切なし(生httpでやりとり)。
だれだ、こんなザルな運用許してるやつは…ありえねぇよ…
# 会社に対していろいろ指摘してきたけど一向に改善されないのでIDで
Re: (スコア:0)
なぜか社内システムには(共同申請者とか、そういう文脈で)他人のコードを入力させる(故に他人に教える必要を作る)ものがあるのだよなぁ。
あれもちょっと怖い。給与振込先とか勝手に変えられちゃうし(パスワードは一応定期的に変更してるけど)。
時代は64bitですし (スコア:0)
stat64もしくはstati64が望ましいのかしら。
Re:時代は64bitですし (スコア:1)
stat360や、stat720の方がいいのかしら?
Re: (スコア:0)
なんかそれ、nintendo64を彷彿させますね。
Re: (スコア:0)
statの日記: ユーザー名 = メールアドレス名はダメなの? [srad.jp]
# 日記です。
Re: (スコア:0)
つまり、タレコミにならないように処理しろ、だったのかしら。
#アレたまだっけ、あれタマだっけ?