アカウント名:
パスワード:
ネズミの国よりスヌーピーが好きな ID がちょっと試してみた。当然のことながらカードクラブ会員ではない(登録には ディズニー★JCBカード [jcb.co.jp]が必要)
ログインIDが分からない場合は「ディズニー★JCBカードインフォメーションセンター」に問い合わせてくださいということになっているので、これはいい。おそらく問題となるのはIDが容易に推測できちゃう場合。
パスワード再発行画面 [disneycardclub.jp]でパスワードの再発行手続きに必要なものは次の3つ。
ひみつの質問 「母親の旧姓は?」「ペットの名前は?」「好きなディズニーキャラクターは?」「あなたの出身地は?」「お父さんのお誕生日は?」から選択
「母親の旧姓は?」→ 親父が婿養子。 「ペットの名前は?」→ いません。 「好きなディズニーキャラクターは?」→ 非推奨。 「お父さんのお誕生日は?」→ 覚ててない。
選択肢が1つしか無い……
誕生日はうるう年の場合でも366種類しかありませんよね。
それを言っちゃったら、母親の旧姓でも多い姓から順に366個入れたら結構な確率でヒットしそうな気も・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
どうしてこうなった? (スコア:5, 参考になる)
ネズミの国よりスヌーピーが好きな ID がちょっと試してみた。当然のことながらカードクラブ会員ではない(登録には ディズニー★JCBカード [jcb.co.jp]が必要)
ログインIDが分からない場合は「ディズニー★JCBカードインフォメーションセンター」に問い合わせてくださいということになっているので、これはいい。おそらく問題となるのはIDが容易に推測できちゃう場合。
パスワード再発行画面 [disneycardclub.jp]でパスワードの再発行手続きに必要なものは次の3つ。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:1)
「母親の旧姓は?」→ 親父が婿養子。
「ペットの名前は?」→ いません。
「好きなディズニーキャラクターは?」→ 非推奨。
「お父さんのお誕生日は?」→ 覚ててない。
選択肢が1つしか無い……
誕生日は366種類しかない。 (スコア:0)
ありませんよね。
4/1
4月1日
四月一日
と、いろいろ表記の種類は違いますけど、それでも容易に予想できる範囲。
秘密の質問の内容として、このシステムを設計した人のセキュリティに関する
スキルのレベルをすぐにわかるようですね。
危ない危ない。
Re: (スコア:0)
それを言っちゃったら、母親の旧姓でも多い姓から順に366個入れたら結構な確率でヒットしそうな気も・・・
Re:誕生日は366種類しかない。 (スコア:0)
多い姓上位からのアタックだと、例えば「佐藤」の場合は
「佐藤」「さとう」「サトウ」「SATO」「SATOU」といろいろな選択肢があるし、
沖縄で多い「新垣」などは、「しんがき」「あらかき」「あらがき」「にいがき」
と読み方も複数あったりします。
だから、全てのパターンを網羅すると、多い姓上位だけとはいえ、かなりの種類に
なります。
よって、安全。
と言いたいところですが、そうでもないです。
ユーザAの母親の旧姓が何なのかブルフォでアタックするのは難しくても、
ユーザの集合体に旧姓「佐藤」でアタックするのはとても簡単です。
ユーザAの秘密の質問で「佐藤」「さとう」「サトウ」「SATO」「SATOU」とやって駄目なら、
次にユーザBで。
次にユーザCで。
というようにやっていけば、たぶん1000ユーザくらいでチャレンジするだけでヒットする
と思います。
多い姓トップ100くらいでこれを試せば、かなり高い確率で攻略されちゃいます。
前提としてユーザID、またはメールアドレスのリストが入手された場合ですが。
秘密の質問系のリマインダを用意する場合、質問自体をユーザに考えてもらい、
かつ、ユーザも自分しかわからない質問を考えなくてはいけないため、実は
忘れにくい強度の高いパスワードを考えることよりも難しいんです。
それを、質問の選択肢自体を提供している時点で、このシステムのセキュリティ設計は
不合格と言えます。
親戚会社のあの会社のシステムも、かなりお粗末なセキュリティでしたが、
もしかして同じところが開発しているのかな。