パスワードを忘れた? アカウント作成
6751157 journal
日記

kotonohaの日記: アカウントセキュリティ最後の砦「秘密の質問」が解読される 40

日記 by kotonoha

今日 様々なサイトで当たり前のように使用されているパスワード再発行認証
「秘密の質問」が 解読されてしまったとニュースになっている。
(http://sankei.jp.msn.com/west/west_affairs/news/121214/waf12121413400017-n1.htm)

産経ニュースによると 好意を持った女子中学生のメールパスワードを秘密の質問経由で
取得・利用した男子中学生3名が送検されたという。
秘密の質問は「母の旧姓」や「ペットの名前」など 他人が比較的容易に入手したり本人から聞いたりできる情報で
認証を行うというセキュリティ的に有り得ない仕様となっており かねてよりハッカー用公式裏玄関として悪名高かった。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2012年12月14日 22時50分 (#2290683)

    最ももろい砦でしたよね、前から。
    しかも多くの場合、秘密の質問を設定しないとアカウント登録を完了しないという仕様なんで、
    自分は「質問と関係ない答えを決めておく」事で対応してます。
    「生まれた地名」に「地球」とかね。歌にあったかな。
    なんにしろ、廃止したほうがいいよねえ、こんなの。

    • 忘れるからという理由でパスワードを1234にしたり、
      質問の答えを安直に設定したり。

      逆に質問の答えを難しくして忘れたり。
      挙句の果てには再発行は書留で発行とか言われて2週間待たされたり。(銀行系。)

      もうブラウザ上から指紋リーダーに接続する仕組みを標準化して
      指紋リーダ搭載PC、またはUSB外付けを必須にすればいいのに。

      忘れない、破られない、ユニバーサル。指紋リーダーでいいじゃない。

      # 破られたら別の方法で認証するように変えていけばいいと思う。

      親コメント
      • by Anonymous Coward on 2012年12月17日 13時01分 (#2291579)
        指紋リーダーなんて騙し放題じゃないですか。あれにセキュリティなんて存在しないと思いますが。
        親コメント
        • 通信を覗かれたら破られる → 暗号化 → 複合キーが流出してうんたらかんたら

          そういうきりがない議論をしてるのではなくて、パスワードにもリマインダーにも問題があると言ってるんですよ。
          リマインダーのせいでパスワードごと役に立たなくなりますからね。その代替え案です。

          騙し放題なんて言い出したら完璧なセキュリティなんて存在しません。

          親コメント
          • by Anonymous Coward

            > その代替え案です。

            代替案にしても筋悪なのがまずいです。
            どこもかしこも指紋認証を使い出したら、どこからか漏れることになるのは間違いないし、
            生体認証の場合、一度漏れたら、鍵の取替えも利かないんですよ?

            しかも指紋の場合、偽造も簡単ときている。

            いいとこありません。

            • by Anonymous Coward

              うーむ、まずなくさないし、Hackするには何とかして本人に近づかなきゃいけないリスクがあるし、割とアリだと思うんだけどなあ。
              じゃあ他にはなんか(・∀・)イイ!!方法、無いですかね?

          • by Anonymous Coward
            指紋は秘密情報ではないということを理解していますか?
            一般人の指紋など、本人に気づかれることなく、簡単に知ることができますよ。 盗聴なんていらないんです。暗号を破る必要なんてないんです。
            • by Anonymous Coward

              生まれた時から手袋をして生活する未来予想図w

      • そこで、その昔公開鍵暗号によるクライアント認証鍵を発行して対応していた銀行がありました。おそらく問い合わせが殺到したのでしょう。いつのまにかクライアント証明書による認証処理は廃止されてしまいました。一番しっかりした認証方法をとってるオンラインバンクだったのにな。

        その銀行、今は複数パスワードによるロックになってますね。たしか初回ログインに4つのパスワード、取引時にさらに追加でパスワードが必要だったっけ過。

        ちなみに指紋リーダーは比較的簡単に破られますよ。指紋リーダーの代わりに特徴情報を流し込むソフトウェアを用意するだけですから。指紋自体は、ドアノブでもどこからでも採取できますしね。

        親コメント
        • by Anonymous Coward

          > 特徴情報を流し込むソフトウェアを用意するだけ
          この入手はウィルスか何かですか?

          そういう話になるときりがないと思うんですよ。

          リマインダーの必要のない仕組みはないんですかねぇ…?

      • by Anonymous Coward

        パスワードのヒント欄にパスワードを記入するのはデフォ。

    • by Anonymous Coward on 2012年12月17日 12時16分 (#2291533)

      「生まれた地名」に「地球」はメジャーだと思う。

      むしろそこは「M78星雲」とか「テロックノール」とか、もうちょっと予想し難いものにすべきだ。

      親コメント
      • Re:最後の砦というか (スコア:4, すばらしい洞察)

        by genkikko (36404) on 2012年12月17日 13時12分 (#2291594) ホームページ 日記

        地名の設問にまじめに地名を答えると推測される危険があります。

        僕の場合は、母の旧姓に
        「エレベーターのドアって変なタイミングで閉まってきてビクってなっちゃうよね」
        とか書いて
        「文字数が多すぎます」
        とか言われて結局「エレベーター」で落ち着いたりとかしますが。

        まじめには、そもそも自身で秘密の質問を必要とする事態にはならない前提で、ランダム文字列を設定するのが正しい運用と思ってますが。

        親コメント
      • by Anonymous Coward on 2012年12月17日 12時20分 (#2291534)
        日頃の言動で、むしろ予想しやすかったりしませんか?
        親コメント
        • by Anonymous Coward

          トレッキーでトレッキー用語を使ったとしても、地名や船名や人名は腐るほどあるからね。

          カークやエンタープライズのようなメジャーどころじゃなくて、もっとマイナーなものを選択すれば、
          「スタトレ関係のマイナーな人名」ということが推測できたとしても特定するのはかなり難しいです。
          さらに言えばその推測が可能なのは、身近な人に限られるわけで。

          それと自他共に認める重度のトレッキーだったら、あえてスタトレネタは外して、
          何か別のにすればいいだけの話。

      • by renja (12958) on 2012年12月18日 7時58分 (#2292071) 日記

        「ムーミン谷」「ナメック星」「M78星雲」あたりはメジャーすぎてまず試されるかと思います

        --

        ψアレゲな事を真面目にやることこそアレゲだと思う。
        親コメント
    • by Anonymous Coward

      質問と関係ない答えなら、「生まれた地名」に「地球」はおかしいでしょう。
      「ぶっかけ大の冷や」なら、まだ理解できますが。

    • by Anonymous Coward

      ひみつの質問には自分とは関係ない以上に、質問に関係ない回答を入れておいたほうが良いと思います。

      例えば「生まれた地名」には

      マヨネーズを掛けたスパゲッティーモンスター

      のような

  • by Anonymous Coward on 2012年12月17日 12時53分 (#2291567)

    > 同級生のフリーメールのパスワードを変更
    どうしてこういうことするのかな。そのままこっそりと覗き続ければいいのに。
    操作履歴の確認なんてしない人多いんだから。

    ……そうしているために気づかれていない不正アクセスが、実は沢山隠れているということか?

    • Re:犯罪者の心理 (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2012年12月17日 12時59分 (#2291577)
      そもそもパスワード再発行の手続きを踏んでの犯行なのですから、オリジナルのパスワードを知らない限り元には戻せないでしょう。
      親コメント
    • by Anonymous Coward

      即時の嫌がらせの方が手っ取り早く脳汁出て楽しいんじゃないですかね?
      よく知らんけど。

      まぁ、あと、対象が関与できない状態で怪メール出しまくって信用失墜とか、対象への社会的制裁を狙うとか。
      自殺まで追い込めたらヒーローだ!

    • by Anonymous Coward

      MSN産経記事から引用すると(emphasize mine)

      > 好意を持った女子中学生(15)のフリーメールのパスワードを不正に取得し、メールをのぞき見たとして、...

      かまって欲しかったんじゃないのかな(´・ω・`)

      # 3人とも1人を?

    • by Anonymous Coward

      >どうしてこういうことするのかな。そのままこっそりと覗き続ければいいのに。
      パスワードそのものを知ることは出来なかったのではないかな?

      もしパスワードそのものを知ることが出来れば、わざわざ
      |>パスワード再発行認証「秘密の質問」を利用
      しないのでは?
      現パスワードを知っていれば、大抵そのままログインして、アカウント設定より新しいパスワードを設定出来るのですから、
      わざわざパスワードの他に秘密の質問の答えを調べて、このシステムを利用して書き換える必要は無かったと思われます。

      ですので、少年はパスワードを知らなかったと考えるのが自然では無いかと。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...