パスワードを忘れた? アカウント作成
291206 story
セキュリティ

パスワード失念時の「秘密の質問」に答えて3200以上のアカウントを不正入手した男 71

ストーリー by hylom
秘密の質問への回答は秘密にしておけ 部門より

capra 曰く、

米国在住の23歳、George Bronkは3200以上ものメールアカウントをクラックし、私的な写真をそのアカウントの持ち主のFacebookアカウントにアップした罪で訴えられているそうだ(IT WORLD本家/.)。

容疑者の手口は定番とも言える、GmailやYahooメールなどのWebメールアカウントの「秘密の質問」に答えるというもの。Facebookのアカウントをチェックすれば簡単に答えが分かるものも多く、次々と成功したとのこと。一旦ログインに成功したあとはパスワードを変更して本人をロックアウトし、ユーザーの「きわどい写真」を探しだして本人のFacebookのアカウントにアップしていったそうだ。

容疑者は172のアカウントにおいてユーザのセミヌードの写真を見つけたそうで、うち1件に関しては、より際どい写真を送るよう脅迫していたことも分かっている。裁判では児童ポルノや個人情報の盗難、またハッキングの重罪において懲役6年を求刑されているとのこと。

「秘密の質問」形式はソーシャルネットワークが発達する前の時代には成り立ったのかもしれないが、これからはまた違った方法を開拓する必要があるのかもしれない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 基本的には (スコア:3, すばらしい洞察)

    by manmos (29892) on 2011年01月18日 19時53分 (#1889932) 日記

    秘密の質問なんて設定してはいけません。
    ・忘れたパスワードなんか再発行。
    ・どうしても、そこを答えなきゃいけないときは、質問とはまったく違う、というか、自動生成した文字列を答えにいれる。
    ・パスワード再発行ができないところは、お金がからんでない限り、塩漬け。
    ・最後は、ネットを使わず本人認証。

    ココセコムなんて、最初から電話と郵便しかない。

    • by ikotom (20155) on 2011年01月18日 21時37分 (#1890012)

      おっしゃるとおり。
      実質、ヒント付き、答えの範囲限定のパスワードと同等なものも多いから、
      わざわざ辞書攻撃してくださいと誘導しているようなものだよね。
      パスワード忘れに対するソリューションとしては相当よろしくないけど、実装が簡単だからね・・。

      Windows7とかの「パスワードのヒント」ぐらいが許せる範囲かな、と思います。

      親コメント
    • Re:基本的には (スコア:2, おもしろおかしい)

      by toanony (38258) on 2011年01月19日 0時57分 (#1890143)
      自分も秘密の質問に対する答えは適当にキーボードをたたくタイプ。
      やっぱり/.erはそういう人多いですね。

      もうかなり昔の話になるけど秘密の質問の選択肢の1つに「血液型は?」てのがあって、バカなの?って思ったことが…
      親コメント
    • Re:基本的には (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2011年01月18日 20時13分 (#1889943)

      設定なんかしたくないけど、設定しないと登録できない依怙地なシステムが多すぎるんだ。
      せっかくメインのパスワードに強度の強いものを設定していても、まじめに質問と対になる答えを設定していたら強度ガタ落ちだもんねぇ。
      仕方ないのでメインのパスワードとは別に、毎回20~30桁位の乱数パスワードを生成して入れている。

      あれを最初に考えた人は強烈に反省してほしい。

      親コメント
      • by Anonymous Coward

        去年、ゆうちょもログインしたとき質問が出るようになったけどなんだかなぁ、と。
        最も、3つ登録して2つ答えないといけないし、相変わらずパスワード忘れは郵送対応なので問題はないと思うが、ログインの時に質問してくるセクション入れて果たして効果があるのかどうか。

      • by Anonymous Coward
        あの糞システム誰が考えたんだよーと思ってたら、大手銀行が続々採用しだしてリスクベース認証と呼ばれてることを知った。
        http://cloud.watch.impress.co.jp/epw/cda/topic/2008/02/15/12257.html [impress.co.jp]

        ただ実際にはチャレンジ質問を採用するケースが多いです。これはあらかじめ秘密の質問とその答えをユーザー自らが登録しておいて、これを認証に利用する方法ですが、オンラインバンキングの運用形態を考えると、一

        • by Anonymous Coward
          結局のところ、パスワードが分からないことには、合言葉や秘密の質問に答えられたとしても、何ら問題がありません。

          #合言葉を間違えただけで、郵送で再登録をすることになり、面倒臭かったので、今は紙にIDと合言葉、パスワードをまとめて書いてあります。システムを厳しくすると、こっちが対応できん。
    • by tarna (10845) on 2011年01月19日 15時33分 (#1890479) 日記

      秘密の質問がイヤな理由
      ・問題を自分で作れる場合、長考してしまう。5分くらい悩む。
      ・回答に数字アルファベットが含まれる場合半角or全角で悩む。
      ・回答が外来語の場合、カタカナかアルファベットかで悩む。
      ・Q:好きな犬種は?
       A:グレートピレニーズ
         グレート・ピレニーズ
         ピレニアンマウンテンドッグ
         ピレネー犬
        どれにしたっけ?

      親コメント
    • by Anonymous Coward
      質問とはまったく違う回答いれて、回答自体すっかり忘れたIDがいくつかあるな・・・
      • by WindVoice (14680) on 2011年01月18日 21時53分 (#1890021) 日記

        そこなんですよね。結局メモするとメモをどう保存するかという問題になるし。「あなたのペットの名前は」「パラマウント」とかそんな感じでどうでしょう。やっぱり思い出せないかもしれませんが。

        --
        人生は七転び八起き、一日は早寝早起き
        親コメント
    • by Anonymous Coward
      本人確認したところで、そのアカウントが必ずその人のものだという証拠にはならない場合もありますよね。。。
      • かわりにアカウント作ってくれって人(主に年寄り)が多いもんで、そこをきっちりされても困ることが多かったり。
        いろんな窓口でも、代理人にしてもらうってのが難しくなってきてるし...

  • 違うでしょ。あれの使い方は「答を入れる」んじゃないよ。

    まず、パスワードを決めるわけさ。
    「えーっと、今回は PetNoNamaeHa? にするか」

    で、「秘密の質問」を正しく選ぶのさ。
    「えっと、さっき入れたパスワードと同じ分は…あーこれこれ『ペットの名前は?』。
     答はランダムっぽい文字列 QWERTY8102 っと」

    で、パスワードを忘れたら、「パスワードを忘れたら」画面に行くと、秘密の質問っていうタイトルでパスワードが書いてあるわけさ。
    # 大嘘

    --
    fjの教祖様
  • by SD (32008) on 2011年01月19日 8時02分 (#1890211) 日記

    前からこの構想はあるんだけど、「クイズ年の差なんて」のNGワードみたく、予め決めておいた答えを入れると、その時の通信記録を保存するとともにアカウントをロックする「トラップパスワード」のようなものはどこかやってないの?

    例えば、誕生日を聞かれた時、正解をトラップパスワードにして、45月67日を正解にするとか。

    --
    言葉に貴賎なし、辞書に聖杯なし
  • by NOBAX (21937) on 2011年01月18日 20時12分 (#1889942)
    やったことは悪いんだろうが、熱意には感心する。
  • rsa_id.pub (スコア:2, 興味深い)

    by guicho2.71828 (38877) on 2011年01月18日 22時01分 (#1890025)

    なんで誰も公開鍵暗号モードを追加しないんだろう

    #きっとwindowsのせいに違いない・・・
    #なんて言うだけだと野暮なので聞きたいのですが
    #今の7やvistaにはssh-keygenは最初から入っているんでしょうか?

    --
    新人。プログラマレベルをポケモンで言うと、コラッタぐらい
  • by manmos (29892) on 2011年01月19日 15時12分 (#1890467) 日記

    Firefoxのアドオンでパスワードを自動生成してくれるものは無いですかね。てか、見つけられませんでした。

    いちいち、別ウインドウで生成するのが面倒くさいもので、自動的にやってくれて、それを、パスワードストアに入れておいてくれると、新しいサイトに登録するのがとても楽。

  • by Anonymous Coward on 2011年01月18日 21時03分 (#1889988)
    たとえば「好きな食べ物は?」
    わざわざ本人の嗜好を調べるまでもなく、とりあえず「カレー」を入力したら、かなりの確率で当ってしまうと思う。
    たとえ当たり率が1%でも、10万アカウントに対して試行すりゃ、1千アカウントを盗めてしまうわけで。
    同様に、「好きな色は?」などというのも、危なくてたまらない。
  • by Jack the Ripper (36962) on 2011年01月18日 23時55分 (#1890110) 日記

    どこのサービスだったか、デフォルトの質問以外に「その他」としてユーザー自身が質問を設定することができたのがあったが…
    トレ毎のユーザー登録だったかな?

  • by Anonymous Coward on 2011年01月19日 0時02分 (#1890115)

    こういう「秘密の質問」みたいなのでアカウント取られるとその後も大変そうですね。
    不審な動きをしなければ、サービスを提供している側からは正規のログインと
    見分けがつかないし。

    フィッシング詐欺でアカウント取られた時もそうだけど、どうしたら良いのでしょうね?

    # 知り合いがMSN mailでアカウント乗っ取られたときは打つ手なしでした。
    # MSNは「裁判所の命令がないと開示できない」としか言わないし、(当然だけど)
    # 犯人グループが海外だと警察はやる気無しで、告訴とか嫌がって
    # せいぜいMSNの連絡先を調べるだけ。年寄りの障害者とかだとそんな状況で
    # 裁判所行くとか無理で。

  • by kujira090 (16707) on 2011年01月20日 0時27分 (#1890796) 日記

    何度失敗したか、何を手がかりにしたのか。
    秘密の問題と答えは本人と当人しか知らないですが・・・

    自分が思うに、直接見知った仲でもないのに3200という数字は、かなりの正答数だと思います。
    Facebookで知った情報、googleで調べたこと、人物の想像や推理。
    それぐらいしか手がかりは無いと思うけど、これだけの数の正答率を導き出せるのは、才能と言っていいと思います。

    #イヴが食べた赤くて甘い果物は?

    --
    #壮大なストーリ。空転するアイディア。
  • by Anonymous Coward on 2011年01月18日 19時42分 (#1889917)
    他人から干渉されるとすごい怒るくせに、なんだかんだで自分から世間に晒してるよね。
  • by Anonymous Coward on 2011年01月18日 19時47分 (#1889920)

    セミヌードの写真より知られたくない秘密を答えにすりゃえんでないの?
    セミヌードの写真をGoogleだYahooだに預けることに関しては抵抗ないのだから、
    秘密の質問を私的な事にしないってのはよくわからんなあ。

  • by Anonymous Coward on 2011年01月18日 20時13分 (#1889944)
    母親とか奥さんの旧姓とか、飼っているペットの名前、とかだけど確かに調べようと思えば
    調べられるからね。
    やはり設定しない、が正解かな?
    • Re:よくあるパターン (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2011年01月18日 20時17分 (#1889948)

      Q1:飼っているペットの名前
      A1:奥さんの旧姓

      Q2:母親の旧姓
      A1:飼っているペット

      アカウントよりも家庭の危機。

      親コメント
      • Re:よくあるパターン (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2011年01月18日 22時29分 (#1890050)
        妻の旧姓は私の最もよく使う秘密の質問。

        ふっ、いくら念を入れて俺を調べったって、絶対にわかりっこあるもんか!
        あれ、おかしいな。勝ったはずなのに、なんで涙が・・・。

        ・・・誰か僕と結婚してください(涙)
        親コメント
        • by Anonymous Coward

          女性遍歴が3桁だったりすると誰の名前で登録したかわかんなくなりました

  • by Anonymous Coward on 2011年01月18日 20時19分 (#1889951)

    なんつって。

  • by Anonymous Coward on 2011年01月18日 21時37分 (#1890011)

    パスワード再設定の際の「秘密の質問」は推測可能 -- 調査で明らかに [zdnet.com]

    われわれは、4つのウェブメールプロバイダすべてで使われている質問の信頼性とセキュリティを計測するユーザー調査を実施した。われわれは被験者に質問に答えるように求め、被験者の知人に彼らのパスワードを推測するよう求めた。被験者が自分のウェブメールのパスワードを知られたくないと報告した知人は、彼らの答えの17%を推測することができた。さらに、他の参加者の間でもっとも一般的な答えを使うことで、13%の答えを5回以内の試行で推測することができた。ただし、この弱さの原因の一部は、今回の被験者群の属性が地理的に均質であったことに起因する。

     さらに、「秘密の質問」の覚えやすさを検証したところ、この130人の被験者(男性64人、女性66人)を対象としたユーザー調査によって、推測が難しい質問は覚えにくい質問でもあることがわかった。

    アカウントが50超えたら覚える気なんてうせましたので、
    パスワードはメモしてサイドキャビネットの中に入れて管理してます。

    外出先でもパスワードが利用できるように
    そのメモをデジカメで撮影して持ち歩いています

    Flickrってプライベートモードとかありますかね、
    アップロードしちゃえばFlickrのパスワード覚えるだけで楽になりそう!

    • by Anonymous Coward
      今回の教訓から学ぶつもりがあるのなら, そのflicker のアカウントをハックされたら即死ってことじゃないの?
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...