水無月ばけらのえび日記

http://www.nifty.com/support/member/pwlost.htm

をみると

「パスワード照会がクレジットカードをもっているとブラウザで確認可能」だけど

「セキュリティの問題上、当窓口でもお客様が設定されている現在のパスワードを確認することはできません。」

だとおもってました。

もちろん初期パスワード以外を印刷して送ってくるのは初めて知りました。

なんで再発行手続きの方法も併記してあるんだし、再発行のみにしないんでしょうか？それでもって、初期パスワード以外を印刷してくるんでしょうか？

数年つかっているので早速変更します。。かなり不安です。。。

ばけらさますみません。

ご迷惑をおかけしてます。通常のBふれっつ環境からだったのですが。。。

もしかしたらリンクを紹介しようとしたからかも。。。

ともあれごめんなさい。

>ご迷惑をおかけしてます。通常のBふれっつ環境からだったのですが。。。

>もしかしたらリンクを紹介しようとしたからかも。。。

>ともあれごめんなさい。

　内容には全く問題ないと思います。

　誤検知のようでこちらこそ申し訳ないです。

>http://www.nifty.com/support/member/pwlost.htm

(snip)

>なんで再発行手続きの方法も併記してあるんだし、再発行のみにしないんでしょうか？それでもって、初期パスワード以外を印刷してくるんでしょうか？

>数年つかっているので早速変更します。。かなり不安です。。。

　ちょっと語弊があったかもしれませんが、今回送られてきたのは、無料の「@nifty ID 登録ユーザー」のパスワードです。ひょっとすると、通常の @nifty 会員のパスワードは扱いが違う可能性があります。

　その辺ちょっと確認できないのですが、いちおう追記しておきますね。

早速の対応おありがとうございます。小心者なんで心配してましたー。

>無料の@nifty　ID

というのがあるのをはじめて知りました。違いがあるのかもそうですが、いろいろ心配で@niftyホームページ内を調べてみました。2005/02までは葉書による再発行のみを行っていたようです。Webによる参照サービスは新しいサービスなんですね。そして＠nifty IDでは今でもパスワードは葉書による再発行のみのようです。

そうなると、昨年まで再発行しかシステム対応していなかったってことなんで運用を想像するに

「パスワードを確保するフィールド項目は１こしかない」

「登録終了の葉書を印刷するのは登録処理が終了した次の日（営業日だともっと期間が長い）」

だから、葉書が印刷する時点でパスワードが変更されていたら変更

されていたまま出力されるってことなのかも。

昨年までは、葉書が届くまでお客様がパスワード変更はされることがなかったので上記のような運用でも問題なかったとおもいます。

でもそうなら、システム屋としてどうかとおもいます。ぜひ予想がはずれていること希望します（笑）

パスワード照会を試してみました。

・必要なのは氏名、ID、電話番号、カード番号、有効期限、任意の4桁の数字

・入力後に送られるメールにURLが記載されており、そこにアクセスすると先ほど入れた「任意の4桁の数字」を求められる

・数字が正しければパスワードが表示される

上記のうち、@niftyが事前に知り得ないのは「任意の4桁の数字」のみですが、当然これをキーにパスワードを暗号化するわけにはいきません。

他の情報は@niftyに登録されている情報ですので、仮にこれらをキーにして暗号化されていても、システム管理者は復号可能であるということになりますね。

いや～。困りました。

>パスワード照会を試してみました。

　私も試してみました。

　ブラウザ上にそのまんま表示されるのですね。

#いや、パスワードにタグ状の文字列を含ませておくと「そのまんま表示」されることは回避できるようですが。

　まさかこんなことになっているとは。

NIFTY に限らず、どの ISP でも、ユーザのパスワードを知っている／あるいは知ることができると仮定すべきでしょう。

PPP の認証に PAP を使っている ISP なら、プロトコル上クリアテキストで送るわけですから、プロトコルダンプをとれば、当然分かります。

認証に CHAP を使っている場合、CHAP の仕様上、クリアテキストを求めることができる形式でパスワードをデータベースに格納する必要があります。CHAP の場合、プロトコルダンプをとってもパスワードは分かりませんが、むしろ、より簡単な方法で、管理者はパスワードを知ることができるわけです。

CHAP の方が盗聴には強いですから、最近はむしろ CHAP を使う ISP が増えているのではないですか？

NIFTY の場合、PPPの接続手順として、PAP を使う方法を図示していますから、確かにデータベース上ではクリアテキストで保存されてない可能性もあったわけですが、セキュリティ上は、それを仮定しない方が良いと思います。

相手が ISP であろうとなかろうと、共有鍵を用いた認証を行なう場合には、管理ドメインの違う接続相手には、それぞれ異なるパスワードを用いる習慣をつけるべきでしょう。

>NIFTY に限らず、どの ISP でも、ユーザのパスワードを知っている／あるいは知ることができると仮定すべきでしょう。

私も実はこの日記を最初に見たときにそう思った。

>管理ドメインの違う接続相手には、それぞれ異なるパスワードを用いる習慣をつけるべきでしょう。

これ、ずいぶん以前から「類推できるようなパスワードにするな」「パスワードそのものをメモるな」などと共にセキュリティの基本として言われていたような気がする。

>>管理ドメインの違う接続相手には、それぞれ異なるパスワードを用いる習慣をつけるべきでしょう。

>

>これ、ずいぶん以前から「類推できるようなパスワードにするな」「パスワードそのものをメモるな」などと共にセキュリティの基本として言われていたような気がする。

あと、「パスワードは定期的に変更せよ」なんつーのもあったような気がする。

>>管理ドメインの違う接続相手には、それぞれ異なるパスワードを用いる習慣をつけるべきでしょう。

>これ、ずいぶん以前から「類推できるようなパスワードにするな」「パスワードそのものをメモるな」などと共にセキュリティの基本として言われていたような気がする。

　へい。

　教訓ということで書いてます。

>あと、「パスワードは定期的に変更せよ」なんつーのもあったような気がする。

　それは議論の分かれるところですね。それを実践すると「パスワードは決してメモしてはならない」という掟と両立できないことがあるので難しいです。

# というか、ニフティにしても人の入れたパスワードを印字したりするからびっくりなのであって、管理者が読めるというだけではここまで驚かないですけど。

「当然仮定すべき」なのは、まったくその通りなんですが、確認できてしまったとなると、やっぱりショックですね。ISP側としても、パスワードがごっそり漏洩するリスクを抱えることになりそうな。

うーん

「ニフティのパスワードは読み出し可能」

は

「ニフティのパスワードはニフティ側が知ることが出来る」

にすべきじゃない？

興味を引くって点でいいtopic名？だけどかなり語弊があるよね。

パッと見、誰にでも読み出せるの？と思えるし。

あと他の殆ど全てのＩＳＰでも担当者はパスワードを読み出せます。

ユーザーが忘れた時などのために。

担当者が読み出せないＩＳＰを知りたいくらい。

（セキュリティー状そのような行為は出来ませんと答えるＩＳＰは別にして）

問題の「パスワードを郵便物に印刷して送ってくる」って点だけど

他のＩＳＰも契約時にはログインパスワードを郵便で送ってくるよね。

ただ、直ぐに変更して下さいとは書いてあるけど。

ニフティーの郵便には変更して下さい云々の言葉は書いてなかったのかな？

書いてなかったとしたら無料サービスとはいえ問題だねぇ。

もっと金銭に直結するクレジットカードなんかは申込書に暗証番号をじかに書かせますよ。その上からシールを貼りますが、はがせないシールだと誰も読み取れないので、はがせるシールです。

銀行に口座作るときも似たような話だと思いますが。

それに比べれば、どうでもいいことを問題にしている気がします。

>「ニフティのパスワードは読み出し可能」

>は

>「ニフティのパスワードはニフティ側が知ることが出来る」

>にすべきじゃない？

　これはむしろ逆ですね。パスワードリマインダの機能があって、ニフティの担当者でなくても読めると言うことが明らかになりました。基本的にはユーザ自身が読むことを想定しているわけですが……。

>担当者が読み出せないＩＳＰを知りたいくらい。

　名前は出せませんが、少なくとも私が昔サーバを管理していた某所では読み出せませんでした。初期パスワードの履歴は残していましたが、ユーザが一度パスワードを変更したら最後、管理者でもそれを知ることは出来ません。

　これはセキュリティ上の理由であると同時に、ISP 側のリスク管理の問題でもあります。私の場合はサフィックスを使い回していただけですが、全く同じパスワードを使い回すユーザも存在するので、そのパスワードを ISP 側が知り得ると変なリスクがついてきます。言いたいことは分かると思いますので、あえて詳しくは述べませんが……。

　多くの ISP はそうしているだろうと思っていたのですが、逆にそうでない ISP の方が多いのでしょうか?

>問題の「パスワードを郵便物に印刷して送ってくる」って点だけど

>他のＩＳＰも契約時にはログインパスワードを郵便で送ってくるよね。

>ただ、直ぐに変更して下さいとは書いてあるけど。

　ユーザが入力したのではなく、ISP が初期パスワードを発行したなら、それを印字して送ってくるのは普通のことだと思います。その場合、ユーザがパスワードをすぐに変更すればメモも残らないし、問題ないわけです。

　しかし、初期パスワードではなく、ユーザが入力したパスワードを印字してくるというのはちょっと聞いたことがありません。そういうことをする ISP ってニフティの他にあるのでしょうか。

>もっと金銭に直結するクレジットカードなんかは申込書に暗証番号をじかに書かせますよ。

　それは望ましいことだと思われて行われているのでしょうか。それとも、他に良い方法がないから仕方なくそうなっているのでしょうか。

　紙ベースの申込書を書くような場合、たとえば手計算でハッシュ値を計算して申込書に書く、というのは現実的ではないわけで、他の良い方法がないのではないかと思うのです。

　紙ベースの申し込みではなく、申し込みが最初から電算処理されているのであれば、誰もその暗証番号を知らないようにするのは簡単です。

　その場合は誰も知らないようにした方が良いと思いますか?

　それとも、その場合でも管理者が読めるようにした方が良いと思われますか?

　いや、実は「管理者はパスワードが読めた方が良い」という考えは意外に根強いようなのです。実際にそういう要件を盛り込もうとしてくるクライアントがいたりしますので、そういう考え方もあるのだろうと思うのですが、どうしてそのようにしたいのかが良く分からないのですよね。

>>もっと金銭に直結するクレジットカードなんかは申込書に暗証番号をじかに書かせますよ。

>　それは望ましいことだと思われて行われているのでしょうか。それとも、他に良い方法がないから仕方なくそうなっているのでしょうか。

シティカードの場合は、勝手に適当な番号が発番されてくるような気がします（いわゆる初期パスワード的な）。

>シティカードの場合は、勝手に適当な番号が発番されてくるような気がします（いわゆる初期パスワード的な）。

　情報どうもです。

http://www.citibank.co.jp/ccsi/online/index.html

　にアクセスしてみたら「javascriptを使用しています。javascriptの使用をonにしてリロードしてください。」というのが 6回も繰り返されたりしていてかなりの気合を感じました。

　ところでカードの暗証番号って簡単に変更できるものなのでしょうか。

　なんかカードによっては暗証番号を変えると作り直しになるとかいう話もあるようですが (IC カードの場合?)、シティカードでは簡単に変更できますか?

>　ところでカードの暗証番号って簡単に変更できるものなのでしょうか。

>　なんかカードによっては暗証番号を変えると作り直しになるとかいう話もあるようですが (IC カードの場合?)、シティカードでは簡単に変更できますか?

カードの暗証番号はカスタマーサービスに電話すれば変更できます。それを簡単というのかどうかは謎ですが、まあ特に問題ない感じです。

>カードの暗証番号はカスタマーサービスに電話すれば変更できます。それを簡単というのかどうかは謎ですが、まあ特に問題ない感じです。

　なるほど。でしたら初期暗証番号を勝手に決められても、すぐに覚えやすいものに変更できるわけですね。

#って、「暗証番号」で良いのかどうかという話は別途ありますが。

>　ところでカードの暗証番号って簡単に変更できるものなのでしょうか。

>　なんかカードによっては暗証番号を変えると作り直しになるとかいう話もあるようですが (IC カードの場合?)、シティカードでは簡単に変更できますか?

最近はATMで暗証番号を変える事が出来るサービスが増えてきているようです。

現在銀行大手はATMでの変更が可能です。

JCBやUCカードのICのパスワードが24時間変更可能になるのは来年６月ですね。

http://www.jcbcorporate.com/news/dr-385.html

>#って、「暗証番号」で良いのかどうかという話は別途ありますが。

とりあえずシティの場合は、暗証番号が2種類あって、受けるサービスに応じてどちらかが要求されるのですが、どっちが要求されているのかわかりにくくて（僕には）、はねられたりすること多数です。まあ、そういう意味では暗証番号だとしても固いのかもしれません[謎]。

当然のこととして担当者でもパスワードは読み出せないと思ってました。技術的には、とても簡単なことですよね。

でも、職場で汎用機の管理をまかされることになって、管理者は端末のパスワードが読めるんですよ。

それからは、職場での認証パスワードは、「完全ランダムで個人のISPとかで使っていたパスワード」から、すべて「類推可能な簡単なもの」に変えました。