アカウント名:
パスワード:
10桁に満たないパスワードを勝手にスペースで埋めて登録してたんですよね.
あっちが持ってるデータは,10桁に埋められたものから生成されたものですよね.
それを,スペース埋めなくてもいいようにしたってことは,もしかして例の生パスワードを保存してるんですってやつ?
と思ったけど,手動でスペースを入力してたのを,あっちで勝手にスペースを埋めるようにしただけかな.
新システム発注時にパスワード長10文字は有っても、「半角スペースで埋めて」という仕様が要求仕様書に無くてやっちまった感がありますね。で、テスト環境だと誤った仕様のみだから問題なかったと。受け入れ試験時に旧システムのテスト環境を構築してパスワードのMin/Mid/Maxの境界チェックしなかった代償は高い。
流れを見る限り生パス保存だったのでアカウントロック解除と同時にDBを変換した。もしくはハッシュ仕様なら3/2:障害でスペース埋め仕様発覚3/3:スペース埋めへ仕様変更(ただし、新システムで生成したハッシュへの対応出来ず)3/4:スペース埋めないでハッシュ生成して比較、失敗したらスペース埋めてハッシュ生成して比較みたいなロジックに変更といった感じでしょうか?
ログイン画面のお知らせ [iwaicosmo.co.jp]が修羅場を妄想させられて他人ごとながら胃が痛い。(以下抜粋)
【本日以降のログインパスワードの取扱いについて】※すべてのお客様において、スペースキーの追加入力は不要となりました。3月4日(水)の夜間処理において、従来からのログインパスワードをご利用いただけますようシステム対応を実施し完了しました。お客様のログインパスワードの状況により、次の2通りのお取り扱いとなります。1 ・システム変更前のログインパスワードをご利用のお客様・3月2日(月)以降にパスワードの再設定を行ったお客様 ログインパスワードをそのままご使用下さい2 ・スペースを加えログインパスワードを10桁にしてログイン されているお客様 スペース無しの従来のログインパスワードをご使用下さいこの度は、お客様に大変ご迷惑をお掛けしましたことを深くお詫び申し上げます。【3月4日のログインパスワードの取扱いについて】3月4日(水)においても、引き続き、従来からのログインパスワードとパスワードが10桁となるようスペースを入力して頂く方法のいずれかでログインが可能となります。ログインパスワードが正しくありませんと表示された場合は、両方の入力方法をお試し頂きますようお願いいたします。この度は、お客様に大変ご迷惑をお掛けし誠に申し訳ございません。重ねてお詫び申し上げます。【3月3日のログイン時のご注意事項について】3月2日の夜間処理にて、従来のログインパスワードでログイン可能となるようシステム対応を実施しましたが、全て対応が完了しておりません、一部のお客様におきましては昨日と同様にログインパスワードの桁数が10桁となるようスペースを追加入力いただきますようお願い致します。ログインパスワードが正しくありませんと表示された場合は、両方の入力方法をお試しいただきますようお願い致します。この度はお客様に大変ご迷惑をお掛けいたしましたことを深くお詫び申し上げます。【3月3日のログイン時のご注意事項について】3月2日の夜間処理にて、全てのお客様が従来のログインパスワードでログイン可能となるようシステム対応いたします。なお、3月2日にパスワードの再設定を行ったお客様を除きます。この度はお客様に大変ご迷惑をお掛けいたしましたことを深くお詫び申し上げます。※3月2日にログインパスワードの桁数を10桁となるよう、スペースの入力により対応いただきましたお客様は、エラーとなりログイン出来なくなりますので、従来のログインパスワードのみでログインいただきますようご注意下さい。※システム対応に伴い、3月3日のサービス開始時間を午前7時(通常は5時30分)とさせていただきますのでご了承下さい。【3月2日 ログイン出来ないお客様へ】ログインパスワードの桁数が10桁となるよう、ご利用いただいておりましたログインパスワードの後ろにスペースの入力をお願いします。※順次ロック解除の作業をおこなっておりますので、暫くたってから再度ログインしていただきますようお願いします。
【本日以降のログインパスワードの取扱いについて】※すべてのお客様において、スペースキーの追加入力は不要となりました。
3月4日(水)の夜間処理において、従来からのログインパスワードをご利用いただけますようシステム対応を実施し完了しました。お客様のログインパスワードの状況により、次の2通りのお取り扱いとなります。
1 ・システム変更前のログインパスワードをご利用のお客様・3月2日(月)以降にパスワードの再設定を行ったお客様 ログインパスワードをそのままご使用下さい
2 ・スペースを加えログインパスワードを10桁にしてログイン されているお客様 スペース無しの従来のログインパスワードをご使用下さい
この度は、お客様に大変ご迷惑をお掛けしましたことを深くお詫び申し上げます。
【3月4日のログインパスワードの取扱いについて】3月4日(水)においても、引き続き、従来からのログインパスワードとパスワードが10桁となるようスペースを入力して頂く方法のいずれかでログインが可能となります。ログインパスワードが正しくありませんと表示された場合は、両方の入力方法をお試し頂きますようお願いいたします。この度は、お客様に大変ご迷惑をお掛けし誠に申し訳ございません。重ねてお詫び申し上げます。
【3月3日のログイン時のご注意事項について】3月2日の夜間処理にて、従来のログインパスワードでログイン可能となるようシステム対応を実施しましたが、全て対応が完了しておりません、一部のお客様におきましては昨日と同様にログインパスワードの桁数が10桁となるようスペースを追加入力いただきますようお願い致します。ログインパスワードが正しくありませんと表示された場合は、両方の入力方法をお試しいただきますようお願い致します。この度はお客様に大変ご迷惑をお掛けいたしましたことを深くお詫び申し上げます。
【3月3日のログイン時のご注意事項について】3月2日の夜間処理にて、全てのお客様が従来のログインパスワードでログイン可能となるようシステム対応いたします。なお、3月2日にパスワードの再設定を行ったお客様を除きます。この度はお客様に大変ご迷惑をお掛けいたしましたことを深くお詫び申し上げます。※3月2日にログインパスワードの桁数を10桁となるよう、スペースの入力により対応いただきましたお客様は、エラーとなりログイン出来なくなりますので、従来のログインパスワードのみでログインいただきますようご注意下さい。
※システム対応に伴い、3月3日のサービス開始時間を午前7時(通常は5時30分)とさせていただきますのでご了承下さい。
【3月2日 ログイン出来ないお客様へ】ログインパスワードの桁数が10桁となるよう、ご利用いただいておりましたログインパスワードの後ろにスペースの入力をお願いします。※順次ロック解除の作業をおこなっておりますので、暫くたってから再度ログインしていただきますようお願いします。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
なぜ解決できた? (スコア:1)
10桁に満たないパスワードを勝手にスペースで埋めて登録してたんですよね.
あっちが持ってるデータは,10桁に埋められたものから生成されたものですよね.
それを,スペース埋めなくてもいいようにしたってことは,もしかして例の生パスワードを保存してるんですってやつ?
と思ったけど,手動でスペースを入力してたのを,あっちで勝手にスペースを埋めるようにしただけかな.
Re:なぜ解決できた? (スコア:3, 参考になる)
新システム発注時にパスワード長10文字は有っても、「半角スペースで埋めて」という仕様が要求仕様書に無くてやっちまった感がありますね。
で、テスト環境だと誤った仕様のみだから問題なかったと。
受け入れ試験時に旧システムのテスト環境を構築してパスワードのMin/Mid/Maxの境界チェックしなかった代償は高い。
流れを見る限り生パス保存だったのでアカウントロック解除と同時にDBを変換した。
もしくはハッシュ仕様なら
3/2:障害でスペース埋め仕様発覚
3/3:スペース埋めへ仕様変更(ただし、新システムで生成したハッシュへの対応出来ず)
3/4:スペース埋めないでハッシュ生成して比較、失敗したらスペース埋めてハッシュ生成して比較みたいなロジックに変更
といった感じでしょうか?
ログイン画面のお知らせ [iwaicosmo.co.jp]が修羅場を妄想させられて他人ごとながら胃が痛い。
(以下抜粋)