パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

パスワード再発行の「ひみつの質問」、「好きなディズニーキャラクターは?」はNG」記事へのコメント

  • by masakun (31656) on 2010年07月06日 12時20分 (#1790846) 日記

    ネズミの国よりスヌーピーが好きな ID がちょっと試してみた。当然のことながらカードクラブ会員ではない(登録にはディズニー★JCBカード [jcb.co.jp]が必要)

    ログインIDが分からない場合は「ディズニー★JCBカードインフォメーションセンター」に問い合わせてくださいということになっているので、これはいい。おそらく問題となるのはIDが容易に推測できちゃう場合。

    パスワード再発行画面 [disneycardclub.jp]でパスワードの再発行手続きに必要なものは次の3つ。

    • ログインID (「ディズニー・カードクラブ」サイトにログインするためのID) ※半角英数字3-10文字以内で入力してください。
    • ひみつの質問 「母親の旧姓は?」「ペットの名前は?」「好きなディズニーキャラクターは?」「あなたの出身地は?」「お父さんのお誕生日は?」から選択
    • ひみつの質問の回答(※全角20文字以内で入力してください。)

    ここでひみつの質問に「好きなディズニーキャラクターは?」を選択して「ひみつの質問の回答」にコリラックマとして、[ 次へ] ボタンを押し、さらに確認画面で[再発行]ボタンを押すと、

    ひみつの質問が一致しません。再度ひみつの質問を選択してください。
    ひみつの質問の回答が一致しません。再度ひみつの質問の回答を入力してください。
    [もどる]ボタンを押して再度入力してください。

    という画面が表示されて簡単に成否が分かってしまう上答えの再入力も手軽(コリラックマはサンエックス [san-x.co.jp]のキャラクター)。さらにディズニーのシリーズは17種類あるとはいえ、「ミッキーマウス」、「くまのプーさん」、「ベビーミッキー」、「スティッチ」、「トイ・ストーリー」といった有名どころから順次入力していけばクラックが比較的容易な設問である・・・ということを、外部の誰かに指摘されたんじゃないかな。

    実際にクラックされたとしたら問題だよな。クレジットカード情報が紐ついているんだもの。

    --
    モデレータは基本役立たずなの気にしてないよ
    • なんで母親は「母親」で、父親は「お父さん」なんだろ。
      というツッコミはともかく、設問の選択肢が少なすぎやしませんか。
      ペットを飼っていない場合や、親がいない場合は、
      回答が可能な設問自体が減ってしまいますし。
      好きなキャラクターより出身地の方がクラックしやすそうな気もします。

      こういう「秘密の質問」を利用する方式を採用する場合、
      「好き/嫌いな食べ物」のような、個人の事情に関係なく答えられる設問を増やすか、
      設問自体も各ユーザが設定できるようなシステムにした方がよいのではないかと。

      親コメント
      • ペットは飼ってませんがこの選択肢は結構使います。
        で、ペットの名前におおよそペットとは思えないものの名前を選択します。

        しかし各所で一々内容を変えますから、結局自分でも忘れます。

        まあ普通はパスワードを覚えてるし、本当にダメなら問い合わせて仮パスワードに
        変更してもらえますからね、大抵。
        親コメント
    • ひみつの質問 「母親の旧姓は?」「ペットの名前は?」「好きなディズニーキャラクターは?」「あなたの出身地は?」「お父さんのお誕生日は?」から選択

      「母親の旧姓は?」→ 親父が婿養子。
      「ペットの名前は?」→ いません。
      「好きなディズニーキャラクターは?」→ 非推奨。
      「お父さんのお誕生日は?」→ 覚ててない。

      選択肢が1つしか無い……

      親コメント
      • by Anonymous Coward on 2010年07月07日 9時05分 (#1791360)

        素直にお父様の誕生日を覚えてあげてください。
        そして当日には電話の一本も掛けてあげてください。

        親コメント
        • by Anonymous Coward

          父と私の誕生日が一日違いなので、それを知られると思いっきり強度が落ちてしまう私のような人もいると思います。
          しかも両親の結婚記念日も一日違い。
          母の誕生日も当時の都合で本当の誕生日じゃなくて切りのいい日になっていたりします。

          だからその手のは使わないAC

      • 生年月日なら数十倍に増えますけど、誕生日はうるう年の場合でも366種類しか
        ありませんよね。

        4/1
        4月1日
        四月一日

        と、いろいろ表記の種類は違いますけど、それでも容易に予想できる範囲。

        秘密の質問の内容として、このシステムを設計した人のセキュリティに関する
        スキルのレベルをすぐにわかるようですね。
        危ない危ない。
        • >生年月日なら数十倍に増えますけど、誕生日はうるう年の場合でも366種類しか
          >ありませんよね。

          太陽暦以外を使えばもう少し選択肢の幅が広がるかもしれませんね。

          宇宙世紀とかギルガメス歴とかコズミックイラとかアフター・ルーシーとか・・・

          親コメント
        • by Anonymous Coward

          誕生日はうるう年の場合でも366種類しかありませんよね。

          それを言っちゃったら、母親の旧姓でも多い姓から順に366個入れたら結構な確率でヒットしそうな気も・・・

          • by Anonymous Coward
            誕生日の表記は自動で生成できるので、楽ちんブルフォが可能。だからかなり脆弱。

            多い姓上位からのアタックだと、例えば「佐藤」の場合は
            「佐藤」「さとう」「サトウ」「SATO」「SATOU」といろいろな選択肢があるし、
            沖縄で多い「新垣」などは、「しんがき」「あらかき」「あらがき」「にいがき」
            と読み方も複数あったりします。

            だから、全てのパターンを網羅すると、多い姓上位だけとはいえ、かなりの種類に
            なります。
            よって、安全。

            と言いたいところですが、そうでもないです。

            ユーザAの母親の旧姓が何なのかブルフォでアタックするのは難しくても、
            ユーザの集合体に旧姓「佐藤」でアタックするのはと
    • >「ミッキーマウス」、「くまのプーさん」、「ベビーミッキー」、「スティッチ」、「トイ・ストーリー」といった有名どころから
      つまりディズニーのキャラクターを入力しなければ
      絶対クラックされないってことでおk?
      #「ムスカ」で入れておこう。

      親コメント
    • by Anonymous Coward
      > 有名どころから順次入力
      「鐘」は何番目かなぁ?
    • by Anonymous Coward
      好きなディズニーキャラクターとして、実在するディズニーキャラクターを設定しておかないと駄目な仕様だったの?
      • by Anonymous Coward
        そういう素直な人が、予想外に多かったからでしょう。
      • by Anonymous Coward

        そこでレオとかナディアと書いてしまう/.erはリスク管理が出来ている、と言う事でしょう

        #別のリスクが有りそうですが

        • by Anonymous Coward
          というかここに来てるような人はみんな
          Q. 母方の旧姓は?
          A. カレーライス
          みたいにそもそも関連性がないペアを設定してセキュアだと悦に入ってるもんだとばかり思ってたんですが違うですか
          • そんな感じでですね,JRのなんかのパスワードの再発行の質問が
            「好きな電車は?」
            だったので,知ってる限りすべての電車の名前を入れたんですがダメでした.

            「新幹線」とか,「ラピート」とか.

            親コメント
            • by Anonymous Coward

              >好きな電車は?

              そりゃ、ちゃんとモハ72920とかクモハ53007とか特定できる形式名を入れないからですよ。

            • by Anonymous Coward
              そこは113系とか、485系とか入れるところじゃないか?
              N2000系とか書くと当然弾かれる。
              • by Anonymous Coward
                いまだに80系が好きだなあ。
            • by Anonymous Coward

              実は電車じゃなくて気動車だったとか。

              #個人的にはキハ281系901/902番試作型スーパー北斗が好きです。

          • by Anonymous Coward on 2010年07月06日 19時23分 (#1791119)
            Q.ペットの名前は?
            A.(女の子の名前)

            某所で「うみか」と入れたAC。
            親コメント
          • by Anonymous Coward

            答えは全角英数で書くのが一番セキュアだと思うんだ。

          • by Anonymous Coward
            俺の母(アメリカ人)はカレーライスって言うんだぜ!!!!!11!!!!!!

            て、本当にいるかもしれませんよ?

            # 無意味な文字列を入れることが多いんでAC
          • by Anonymous Coward

            悦にいるかどうかはともかく、テクニックの一つではあります。
            もっとも、関係がなさすぎると忘れてしまって、結局は意味が無くなることも多いんですが。

            あと、むやみと長くするのもアリです。「ジャムカツカレーライス特盛二人前」なんて
            予測出来る人がいるとは思えません。

            • by Anonymous Coward on 2010年07月07日 9時57分 (#1791379)
              >むやみと長くするのもアリです。「ジャムカツカレーライス特盛二人前」

              いや、長さ以前にその組み合わせが普通は思いつかんだろ…。
              親コメント
            • by Anonymous Coward
              「美容と健康のために食後に一杯の紅茶を。ジャムではなくママレードでもなくブランデーで。」

              #逆に推測されそうな気がする。
            • by Anonymous Coward
              あぁ、「ロシアンティーを一杯。ジャムでもママレードでもなく蜂蜜で」ってヤツですね。
        • by Anonymous Coward
          登録時にレオとかナディアと書いておいて、いざ再発行の時にシンバとかプリンセスキーダとか入力しても通ったりして。
      • by Anonymous Coward
        好きなディズニーキャラクターは?
        フェイスハガー

        ディズニーのキャラクターではありません。再度入力してください。

        好きなディズニーキャラクターは?
        大魔神

        ディズニーのキャラクターではありません。再度入力してください。

        好きなディズニーキャラクターは?
        魔神

        登録が完了しました。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...