パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

高木先生、PASMO の「マイページ停止センター」に電凸」記事へのコメント

  • 高木先生ももうちょっとかみ砕いて説明してやれば良いのに。
    そもそも、セキュリティの知識に関してレベルが違うのに、無理矢理答えを引き出そうとしても出てくるわけがない。
    (当然、担当者はセキュリティについても高いレベルの知識を持っていろ。って話はあるが)

    それにしても、こんな機能があるとはPASMO開始当初から使ってるが知らなかったわー

    • もっともかな~

      センセ曰く
      >私: 名前と生年月日と電話番号というのは公開情報ですよね?

      そうなの?って感じ。特に生年月日なんて正しい数字書かないよ・・・
      使用履歴と名前と生年月日と電話番号が結びつくのが問題と言うならわからなくもない。

      というより、個人的には、パスモ履歴程度で煩雑な認証を掛けるより
      利便性を優先する方が良いと思う。
      それを良しとしない人の為にわざわざ停止窓口まで設けているわけで、
      現状そんなに瑕疵があるとは思えないなあ。

      ##私もこの機能知らなかった。今後使おうと思うよ。

      • まぁ、私も高木先生がサービス停止に持って行こうとしているところは、あまり同意できないですけど、
        デフォルトで公開ってのは突っ込まれてしかるべきポイントかなとは思います。

        使いたい人が使う分には問題ないですし便利なサービスですが、せめて申込書とかに
        「使いたい人はここにチェック」みたいな項目があって、デフォルトはOFF。とするべきだったんじゃないかなぁと思います。

        その上で、よく分からないけどチェックを付けたって人に対しては、自己責任と言い張っても良いとは思いますが。

        親コメント
        • by uron (39597) on 2012年02月28日 13時00分 (#2107511)

          センセの日記を読んでる限りでは、このサービス自体はデフォルトOFFのようです。
          問題はONにするときに公知の情報だけで出来てしまうと言うところ。

          日記から該当箇所を引用させてもらうと、

          PASMOのカード番号(IDi)と、氏名、生年月日、電話番号(電話番号は不要の場合もある)さえあれば、
          アカウントを作成でき、そのアカウントでそのPASMOの乗車閲覧を閲覧できてしまう。

          ということで、アカウント自体は作らないと出来ないんだけど、家族とかtimesとかストーカーあたりなら
          勝手にアカウント作れてしまうようなシステムで、アカウント作成時の本人確認の部分に問題があると言うことですね。

          # pasmo側はこれらの情報は秘匿情報であり、公開した場合は本人の責任であると主張してるんですな。
          # そして「んなわきゃない」と言うのがセンセの突っ込み。

          --
          スルースキル:Lv2
          Keep It Simple, Stupid!
          親コメント
          • うんでもね。「マイページ停止センター」というのがあって、ここに連絡することでアカウントを登録できないようにできるんですよ。これを「オフ機能」だとすると、デフォルトでオン状態と言って差し支えないと思いますよ。

            親コメント
            • とりあえず自分についてはマイページ停止の手続きをしました。マイページ停止センターに電話して、PASMO番号、氏名、生年月日、電話番号を伝えるだけで停止。これも本人でなくても情報を知っている人ならできることになりますね。

              その電話口で言われたことなのでどこまで信用していいかですが、再度マイページを開始するには電話ではだめで書面による手続きが必要だそうです。なので、本人以外が復活させることは出来ないようになっているのかなと思います。この点は比較的安心できました。(復活も電話で出来るのなら停止の意味が無いから)

              親コメント
          • by Anonymous Coward on 2012年02月28日 16時32分 (#2107684)

            その上更に問題なのは、その作ったアカウントのログインパスワードを知らなくても

            https://www.pasmo-mypage.jp/loginwebform.aspx [pasmo-mypage.jp]

            マイページ会員用ID・パスワードのいずれかをお忘れの場合は、会員登録画面から再度会員登録を行ってください。

            と有るように、再登録だけで簡単に上書き取得できちゃうので、
            サービス停止してもらうしかプライバシーを守る手段が有りません。

            だからセンセイもこんなサービスはさっさと止めろとしか言い様が無いでしょう。

            親コメント
          • by Anonymous Coward

            それを

            > デフォルトOFFのようです。

            と表現しちゃうのは、本件の論点を理解できてない証拠だと思うけど?

        • by Anonymous Coward on 2012年02月28日 16時48分 (#2107704)

          センセイがさっさと止めろと仰るのは、それ以外に利用者が自分のプライバシーを守る手段が無いからです。

          発行済アカウントのパスワードが分からなくても
          再度登録するだけで上書き取得出来てしまうので。

          マイページ会員用ID・パスワードのいずれかをお忘れの場合は、会員登録画面から再度会員登録を行ってください。

          https://www.pasmo-mypage.jp/loginwebform.aspx [pasmo-mypage.jp]

          親コメント
        • by Anonymous Coward

          過去に遡ってこうすべきだったとか言っても、今更どうしようも無いですよね?
          それにきちんと周知されていればよかったという類のものでもないと思う。

          結局、一旦サービス止めて改修する以外に方法は無いんじゃないでしょうか。

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...