kotonohaの日記: アカウントセキュリティ最後の砦「秘密の質問」が解読される 40
日記 by
kotonoha
今日 様々なサイトで当たり前のように使用されているパスワード再発行認証
「秘密の質問」が 解読されてしまったとニュースになっている。
(http://sankei.jp.msn.com/west/west_affairs/news/121214/waf12121413400017-n1.htm)
産経ニュースによると 好意を持った女子中学生のメールパスワードを秘密の質問経由で
取得・利用した男子中学生3名が送検されたという。
秘密の質問は「母の旧姓」や「ペットの名前」など 他人が比較的容易に入手したり本人から聞いたりできる情報で
認証を行うというセキュリティ的に有り得ない仕様となっており かねてよりハッカー用公式裏玄関として悪名高かった。
最後の砦というか (スコア:2, 興味深い)
最ももろい砦でしたよね、前から。
しかも多くの場合、秘密の質問を設定しないとアカウント登録を完了しないという仕様なんで、
自分は「質問と関係ない答えを決めておく」事で対応してます。
「生まれた地名」に「地球」とかね。歌にあったかな。
なんにしろ、廃止したほうがいいよねえ、こんなの。
そもそも認証の仕組みに限界がある (スコア:1)
忘れるからという理由でパスワードを1234にしたり、
質問の答えを安直に設定したり。
逆に質問の答えを難しくして忘れたり。
挙句の果てには再発行は書留で発行とか言われて2週間待たされたり。(銀行系。)
もうブラウザ上から指紋リーダーに接続する仕組みを標準化して
指紋リーダ搭載PC、またはUSB外付けを必須にすればいいのに。
忘れない、破られない、ユニバーサル。指紋リーダーでいいじゃない。
# 破られたら別の方法で認証するように変えていけばいいと思う。
Re:そもそも認証の仕組みに限界がある (スコア:1)
Re:そもそも認証の仕組みに限界がある (スコア:2)
通信を覗かれたら破られる → 暗号化 → 複合キーが流出してうんたらかんたら
そういうきりがない議論をしてるのではなくて、パスワードにもリマインダーにも問題があると言ってるんですよ。
リマインダーのせいでパスワードごと役に立たなくなりますからね。その代替え案です。
騙し放題なんて言い出したら完璧なセキュリティなんて存在しません。
Re: (スコア:0)
> その代替え案です。
代替案にしても筋悪なのがまずいです。
どこもかしこも指紋認証を使い出したら、どこからか漏れることになるのは間違いないし、
生体認証の場合、一度漏れたら、鍵の取替えも利かないんですよ?
しかも指紋の場合、偽造も簡単ときている。
いいとこありません。
Re: (スコア:0)
うーむ、まずなくさないし、Hackするには何とかして本人に近づかなきゃいけないリスクがあるし、割とアリだと思うんだけどなあ。
じゃあ他にはなんか(・∀・)イイ!!方法、無いですかね?
Re: (スコア:0)
一般人の指紋など、本人に気づかれることなく、簡単に知ることができますよ。 盗聴なんていらないんです。暗号を破る必要なんてないんです。
Re: (スコア:0)
生まれた時から手袋をして生活する未来予想図w
Re:そもそも認証の仕組みに限界がある (スコア:1)
そこで、その昔公開鍵暗号によるクライアント認証鍵を発行して対応していた銀行がありました。おそらく問い合わせが殺到したのでしょう。いつのまにかクライアント証明書による認証処理は廃止されてしまいました。一番しっかりした認証方法をとってるオンラインバンクだったのにな。
その銀行、今は複数パスワードによるロックになってますね。たしか初回ログインに4つのパスワード、取引時にさらに追加でパスワードが必要だったっけ過。
ちなみに指紋リーダーは比較的簡単に破られますよ。指紋リーダーの代わりに特徴情報を流し込むソフトウェアを用意するだけですから。指紋自体は、ドアノブでもどこからでも採取できますしね。
Re: (スコア:0)
> 特徴情報を流し込むソフトウェアを用意するだけ
この入手はウィルスか何かですか?
そういう話になるときりがないと思うんですよ。
リマインダーの必要のない仕組みはないんですかねぇ…?
Re: (スコア:0)
パスワードのヒント欄にパスワードを記入するのはデフォ。
Re:最後の砦というか (スコア:1)
「生まれた地名」に「地球」はメジャーだと思う。
むしろそこは「M78星雲」とか「テロックノール」とか、もうちょっと予想し難いものにすべきだ。
Re:最後の砦というか (スコア:4, すばらしい洞察)
地名の設問にまじめに地名を答えると推測される危険があります。
僕の場合は、母の旧姓に
「エレベーターのドアって変なタイミングで閉まってきてビクってなっちゃうよね」
とか書いて
「文字数が多すぎます」
とか言われて結局「エレベーター」で落ち着いたりとかしますが。
まじめには、そもそも自身で秘密の質問を必要とする事態にはならない前提で、ランダム文字列を設定するのが正しい運用と思ってますが。
Re:最後の砦というか (スコア:1)
Re: (スコア:0)
トレッキーでトレッキー用語を使ったとしても、地名や船名や人名は腐るほどあるからね。
カークやエンタープライズのようなメジャーどころじゃなくて、もっとマイナーなものを選択すれば、
「スタトレ関係のマイナーな人名」ということが推測できたとしても特定するのはかなり難しいです。
さらに言えばその推測が可能なのは、身近な人に限られるわけで。
それと自他共に認める重度のトレッキーだったら、あえてスタトレネタは外して、
何か別のにすればいいだけの話。
Re:最後の砦というか (スコア:1)
「ムーミン谷」「ナメック星」「M78星雲」あたりはメジャーすぎてまず試されるかと思います
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
質問と関係ない答えなら、「生まれた地名」に「地球」はおかしいでしょう。
「ぶっかけ大の冷や」なら、まだ理解できますが。
Re:最後の砦というか (スコア:2)
うどん県民なら知人の好みぐらい知ってるのではないでしょうか
Re: (スコア:0)
へーうどん県民は「ぶっかけ大の冷や」をなんの質問の答えにしたかわかるんですか。
すごいですね。
Re:最後の砦というか (スコア:1)
総当たりで行けばいい。どうせ選択肢の数なんて知れてる。
Re: (スコア:0)
すごいだろー
Re: (スコア:0)
質問も選べるから、1つ前の質問に答えれば、いいんだよ
好きな動物は?
好きな食べ物は?
:
だったら、「好きな食べ物は?」に対して好きな動物で答えれば
犬で・・・
Re:最後の砦というか (スコア:1)
それ俺も一瞬考えたんだけどさ、
秘密の質問の順番が変わったり、増えたりしない保証がない。
Re: (スコア:0)
ひみつの質問には自分とは関係ない以上に、質問に関係ない回答を入れておいたほうが良いと思います。
例えば「生まれた地名」には
マヨネーズを掛けたスパゲッティーモンスター
のような
Re:最後の砦というか (スコア:1)
そうすると答えを忘れてしまって…
Re:最後の砦というか (スコア:2)
もうすべての答えは "42" でええねん。
Re: (スコア:0)
というかYvB2syHbFEtevIo5とかBwRfKbN4nZ3BOOqUとかh3tIPNRcgQLS1XRbとか入れればいいだけですよ。
Re:最後の砦というか (スコア:1)
そしてマルチバイト文字列を要求されてイラつくんですよね。わかります。
さすがにこの制限かけてるところを実際に見たとき、仕様を決めた人は頭がおかしいんじゃないかと思いました。
Re: (スコア:0)
マジで?さすがにそれは頭おかしい。
Re:最後の砦というか (スコア:1)
Re: (スコア:0)
それを覚えていられるなら、パスワードを忘れない。
まあ、秘密の質問を実質的に無効化するには良いか。
犯罪者の心理 (スコア:0)
> 同級生のフリーメールのパスワードを変更
どうしてこういうことするのかな。そのままこっそりと覗き続ければいいのに。
操作履歴の確認なんてしない人多いんだから。
……そうしているために気づかれていない不正アクセスが、実は沢山隠れているということか?
Re:犯罪者の心理 (スコア:3, すばらしい洞察)
Re: (スコア:0)
即時の嫌がらせの方が手っ取り早く脳汁出て楽しいんじゃないですかね?
よく知らんけど。
まぁ、あと、対象が関与できない状態で怪メール出しまくって信用失墜とか、対象への社会的制裁を狙うとか。
自殺まで追い込めたらヒーローだ!
Re: (スコア:0)
MSN産経記事から引用すると(emphasize mine)
> 好意を持った女子中学生(15)のフリーメールのパスワードを不正に取得し、メールをのぞき見たとして、...
かまって欲しかったんじゃないのかな(´・ω・`)
# 3人とも1人を?
Re:犯罪者の心理 (スコア:1)
ああアレか、
クラスの女の子の手帳覗いたりする現代版。
見る相手によっては… (スコア:1)
見る相手によっては命取りになりますよ。例えば絢辻さんとか…
ネクタイ掴まれて言葉攻めにされた後に、学校の静かな場所に呼び出されて…
Re:見る相手によっては… (スコア:2)
静かな場所に呼び出されて2人きりなんて嬉しいじゃないですか。
綾辻さんかわいいですし、何も隠し持っていませんし。
Re: (スコア:0)
絢辻さんの手帳は、拾ったときは誰のものかわかっていなかったので・・・
それに絢辻さんに罵って頂くのは、我々の業界ではご褒美です。
Re: (スコア:0)
>どうしてこういうことするのかな。そのままこっそりと覗き続ければいいのに。
パスワードそのものを知ることは出来なかったのではないかな?
もしパスワードそのものを知ることが出来れば、わざわざ
|>パスワード再発行認証「秘密の質問」を利用
しないのでは?
現パスワードを知っていれば、大抵そのままログインして、アカウント設定より新しいパスワードを設定出来るのですから、
わざわざパスワードの他に秘密の質問の答えを調べて、このシステムを利用して書き換える必要は無かったと思われます。
ですので、少年はパスワードを知らなかったと考えるのが自然では無いかと。