パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「Ameba」オフィシャルブログ、不正アクセス被害」記事へのコメント

  • アメブロの騒動、あとからおいついたので現物見てませんが、状況から見てIDとパスワードが平文で保存されてたってことでしょうな。
    時折サービス登録するとパスワードが平文で送られてきたり「ハッシュしないで保管してるっぽいなー」ってとこがあるんですが、これはなぜなんでしょう?
    # アメブロの場合は芸能人ブログだけ特別扱いで管理してたのかもしれませんけど

    流石にハッシュ後を保存するって教科書レベルの話を知らない開発者が居るとは思えないので、なんか理由があるんだと思いますが……
    「パスワードは聞けば教えてくれるはずだ」みたいなユーザが多いから?

    何らかの理由で「こんな実装したくないのに……」と苦汁を飲んだ開発者が/.Jに居れば、こっそり教えてください:-)

    • 最初はハッシュ値のみを保存するように作りました。
      パスワードを忘れた場合、ランダム生成した一時パスワードを登録メールアドレスに送付する仕組みも作りました。
      こちらで(開発側で)用意したメール文言は「一時的なパスワードです。3日以内にログインして設定し直してね」というものでしたが、これが絶不評。
      パスワード変更が面倒だの、期間が3日では短すぎるだの、まあ、出るわ出るわ……。

      結局、ユーザの入力したパスワードをそのまま送付する仕組みに変更する事になりました。
      (パスワードを平文で流すことよりも、ユーザの利便の方が重要な事らしいです)
      --
      notice : I ignore an anonymous contribution.
      • そうすると、誰でも他人のパスワードを変更できないですか?
        嫌いなあいつのパスワードを1時間毎に書き換えてやることもできちゃう。

        というわけで、自分はもっぱら変更するためのURLをメールでお知らせする形ですね。
        • by Anonymous Coward

          だから、
          1、なるべく一般公開してないE-mailアドレスを使う。
          2、生年月日や母の旧姓など、プライベートな質問への答も同時に入力させる。
          くらいの仕組みは必要なんでしょうね。

          ニュースサイトくらいなら平文送付でもいいと思うけど、
          amazonみたいな通販サイトだとリセット&URL送付の方がいいと思うな。

          • >2、生年月日や母の旧姓など、プライベートな質問への答も同時に入力させる。

            これってセキュリティホールになりやすくないですか?
            一般人でもちょっと調べればわかりそうだったり、有名人ならそれこそWikipediaに書かれていそうな情報が多そうだし。
            まぁ、普通はそれを見越して更に自分だけにわかる答えを設定するんだろうけど。
            こういう設定を求められるといつもちょっといやになる。

            以前アメリカの誰だったか要人でこれのせいでパスが漏れた件ってなかったっけ?

            親コメント
            • ある意味要人なTwitterの管理者のバスワードが昨年漏れてましたね [itmedia.co.jp]。

              そういやもう昨年なんだなー。

              親コメント
            • by Anonymous Coward

              たいていは質問に正解した時にパスワードが画面に出てくるわけじゃなくて本人のメールアドレスに
              送信されるから、セキュリティ強度はメールクライアントの管理状態によりますね。

            • by Anonymous Coward
              最初に偽のプライベート情報を入れるんですよ。
              「あなたの好きな食べ物は?」と云う設問に「うんこ」でも問題無し。

              ひょっとして、GmailやYahooメールとかの登録時に、みんな本当の事を入力してるのか?
              • たいていは嘘と言うか、違う答えを入れますけど。
                それゆえに忘れやすいという欠点があります。

                最近は母親の旧姓に好きなフルーツを入れるとかいうふうにしています。
                (↑もちろんこれも偽情報)

                親コメント
              • by Anonymous Coward

                偽の回答を覚えているくらいなら、パスワードも忘れないわな。
                あなたは本当に「アタマ」がいいんだねぇ‥‥。あ、皮肉じゃなしにマジでマジで。ハハッ(笑

              • あなたの「好きなフルーツ」が偽情報なのはわかりましたが、
                そもそも「好きなフルーツ」ってソーシャルエンジニアリングに使えるほど、
                周囲に知られている情報なのでしょうか。
                (家族以外に)そう言う話、します?そして、他人のそれを覚えています?

                まあ、ここでプライベートな情報をさらしておくと、私の好きな三大フルーツは、
                桃、蜜柑、バナナですが。

                親コメント
              • 好きな食べものの話って無駄話的にけっこうしてますよ。
                酒も飲まないし、ギャンブルや合コンや風俗とかも行かなくて趣味以外での適当な話題といえば食べることとか天気の話になっちゃいやすいですね。
                まぁ、それを覚えているかどうかは対象への興味の度合いや話のインパクトにもよると思いますけど。

                確かに他人の好きなフルーツなんてよほど親しい人やよく一緒に食事をする人くらいしか分からないですね。

                私の好きな三大フルーツは・・・ビワ、スイカ、柿。
                たまにこれらの中の一つを一シーズン毎日食べていたという話を周りに何度かしたことがあるので、中には覚えている人がいるかもしれません。

                もちろんどれもそのままではパスフレーズには使いませんけど。

                親コメント

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...