パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

旅行関連サイトの多くが弱いパスワードを許可しているとの調査結果」記事へのコメント

  • 旅行サイトってそこまで安全性を確保する必要ある?
    そりゃセキュリティだけの話なら安全性が良いに決まっているけどそれに掛かるコストなどは適当か?
    今回の「2)」ってのも 難しい=扱いにくい=良いパスワード みたいな内容で付箋やメモで残すようなことを誘発している。
    あと、パスワード以外の視点も検証しているのかな?IDをどうするかとか、証明書の扱いとか...

    • by Anonymous Coward on 2018年05月06日 21時41分 (#3403596)

      全てのサイトがそうかは解りませんが、
      他のコメントで上がっている高速バスネットの登録内容 [kousokubus.net]に、
      ・氏名
      ・電話番号
      ・クレジット番号
      があるため、安全性を求める必要はあると思います。

      # 話は全く変わりますが、(1)や(2)が満たせてなくとも、
      # "数回パスワード入力に失敗した場合はアカウントロックや人間確認(reCAPTCHAとか)する"
      # を課せば、総当たりや辞書攻撃をかなり緩和できると思うのですが、
      # 安全性の判断には考慮に含める価値はないのでしょうか...

      親コメント
      • by Anonymous Coward on 2018年05月06日 22時11分 (#3403607)

        むしろ、バス乗るのに何で電話番号やメールアドレスが必須なんだよってところがツッコミどころじゃないかな。要らない情報を集めようとするところは大抵ヤバイ。緑の窓口なら金払って終わりなのに。

        親コメント
        • by Anonymous Coward

          高速バスなので、一部を除き無人駅です。
          メールアドレスはメールで乗車チケットが届くので。
          電話番号はバス停に居ない時の連絡用ですね。

          • by Anonymous Coward

            バスの運転手や車掌が電話かけてくることなんてないだろ。

            • 事故った時とかに、それらの情報を手がかりに乗客の安否確認や家族への連絡をするんじゃないすかね。

              親コメント
              • by Anonymous Coward

                いや、普通の乗客は電話番号なんて伝えずに現金払いで乗ってるわけですし、少なくとも「必須」にする必要はないでしょう。そういうサービスをオプションで提供したいのなら、情報管理の精度と天秤にかけてありがたがる人もいるかもしれませんけれど。

              • 東京〜大阪とかの夜行バスだと、事前にユーザ登録してチケット予約してから乗ったことしかなかった。
                2・3時間程度乗車する高速バスなら確かカウンターで現金でチケット買えたっけ。

                親コメント
            • by Anonymous Coward

              交代要員はいても、基本ワンマンなので乗客管理も運転手のお仕事。
              運転手が乗客リストを持っていて、来ない場合掛けてましたよ。
              おかげで10分出発が遅延。高速と休憩時間で調整して定着でしたけど。

              そもそも深夜じゃ電話窓口は営業時間外でつながらないし。

      • by Anonymous Coward

        俺もそれがずっと疑問なんだよね。
        失敗の回数制限を付けない理由ってサポートコストなのかな?

        • by Anonymous Coward

          アカウントロックはまずいんじゃないかな?IDは秘匿情報じゃないから。

        • by Anonymous Coward

          DoS攻撃に弱い

          昔は本人間違えても使えなくなってた。
          確かCD/ATMに飲まれるんじゃなかったかな
          ♯本人確認が必要なんですぐには戻せない

          操作者の画像記憶とってとかなると保存・消去がうるさいことになる

      • by Anonymous Coward

        > ・氏名
        > ・電話番号
        > ・クレジット番号
        > があるため、安全性を求める必要はあると思います。

        それ、ガッチガッチのパスワードが必要? っていう疑問です。
        個人情報保護の御旗を立てれば答えはYesのように思えるけど、クレジットカード番号が後から見に行けるわけではないし(違うなら指摘してね)。
        確認メールが飛ぶなら不正使用されても直ぐに対処できるし。
        氏名や電話番号が漏れたところでそんなに問題あるの?実際? 特定範囲とはいえばらまいている情報なのに。
        そして、今まで漏れた事件は個人のパスワードの脆弱性ってあまり聞かない。管理者側のアカウント管理ミスで大量に漏れた方はよく聞くけどね。

        それよりも高速バスネットについては前のコメントにも書いたけどIDの問題の方が大きいように見える。メールアドレスが使えるところとかが。

        • by Anonymous Coward

          パスワードが漏れるとマズいのは他のサービスでも使い回している可能性が高いことだと思う。
          強度に問題があるパスワードを使っているような人ならなおさら。

          • by Anonymous Coward

            それってパスワードの複雑さと関係ある?
            パスワードが漏れてしまえば複雑さとは関係ないし、強固なセキュリティが必要な場所にはそれなりのパスワードや追加の認証手段をつけるのだし。
            セキュリティレベルが違うのに同じ強度のパスワードを要求したらそれこそ同じパスワード使われる結果になるよ。

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...