sumiyakiの日記: 050Free (Brastel) IP電話のセキュリティが少し不安 5
現在通話はY!Mobileを使用中。
MVNOに乗り換えることも検討していて、通話料を節約するために、試しにスマホにBrastelのIP電話を導入してみた。Brastelは比較サイトでみると、月々の基本料が無料で、通話単価も安く、かなり良さげ。
しかし、利用者を識別するためのIDとパスワードがかなり弱いものしか使えず、セキュリティに関しては少し不安。IDが8桁の数字、パスワードは4桁の数字(PIN番号)。この二つで、設定するページにログインでき、登録した個人情報の閲覧やプリペイドの通話料のチャージほかの設定が全部できてしまう。
通話に関わるスマホや端末などに、IDは入力してそのまま見える状態。もし、IDが(自分の不注意その他で)漏れだしたら、PINは4桁の数字。簡単に総当たりで開けられそう。特に、クレジットカードで自動リチャージをするように設定していたら、高額の通話代が請求されるということになりかねない。自動リチャージにしていなければ、クレジットカード情報は保存されず毎回入力するので安全と思いたいが、少し不安。
【ブラステル】 050 IP電話 【Brastel】 Part12 [転載禁止]©2ch.net
17 :名無しさん@お腹いっぱい。:2014/11/19(水) 13:33:09.91
転記です
アカウントが盗まれました。
本日、ブラステルのサポートから電話がありまして、昨日に海外に電話をかけまくられ残高が0円近くになったとのことです(泣)><;
(以下略)
という話もあった。
ただし、Google検索のキャッシュに残っていたもの
ブラステル - マイアカウント - Brastel
www.brastel.co.jp/jpn/myaccount
もう一度、ログインしてください。 最大アクセス可能回数を超えてログインに失敗したため、セキュリティ上、 当ページからのログインはブロックされました。カスタマーサービスまでご連絡ください。 アクセスコードを入力してください:. ログイン. ユーザーID, PIN番号 ...
をみると、ログインのやり直しには何らかの制限があるらしい、が、そのようなアナウンスがあったことは、私には確認できない。
正直、PIN数字4桁のパスワードというのは、もっと強固にできるように仕様変更してほしい。
守旧派はいつまでPIN4桁にしがみつき続けるか? (スコア:1)
銀行等のATMキャッシュカード暗証番号(これがそもそもの基本形か?)がそうだし、
移動体通信事業者の携帯電話等(docomoが一例)、
頭を使うのが苦手なWebページ開設している人や組織…
試行千回でおつりが来るというのはコに任せれば楽な仕事なのにねえ。
Re:守旧派はいつまでPIN4桁にしがみつき続けるか? (スコア:1)
返信ありがとうございます。
4桁のPINというのは、銀行の暗証番号の他、SIMカードのセキュリティにも使われてますね。
しかし、BrastelのIP電話は通話前にPINが必要なものというわけではないので、4桁の数字である必要は全くないですね。
Re: (スコア:0)
キャッシュカードとかの物理媒体のときは、(外だと特に)ショルダーハックもあるので、ささっと終る覚えられる4桁はわからんでもない(でも最近は6桁もできるのあるらしい)
ネットワーク番号は、どうなんだろうね、意図がわからないのでコメントしにくい。
それがそのままネットなのはマズいけど、ね。
Re:守旧派はいつまでPIN4桁にしがみつき続けるか? (スコア:1)
BrastelのPIN番号を、ショルダーハックされる危険性の高い場面で使うのかどうか、いまのところわかりません。
インターネットでアクセスする場面でそのまま使う仕様なのは理解できません。
Re: (スコア:0)
ジジババ相手もあるので覚えやすくってのが大きいでしょうね。
ただ確かに桁数・使える文字が多いほど耐性は高くなるけど、
そもそもキャッシュカードとか携帯電話(キャリアブランドの現スマートフォンも大概そう)は
ハードウェアそのものが認証キーであって、PINとかNW暗証番号とかは最後の一押しの確認なんだよね。
状況的には「家の鍵を開けるのに、鍵を回した後PINを入力してる」状態。
確かにセキュリティは上がるが、キャッシュや携帯電話は無くした(=認証キーが流出した)時点で
鍵の無効化と再発行する手段があるんだからそっち使っててスタンスなんだろう。
BrastelのIP電話がどの端末(PC、スマホ)からでも端末認証なしでアクセスできるなら、
比較すべきはdocomoID(キャリアフリーサービスだからこれを例にしました)とかじゃないかね。