数字4桁のパスワード

個人情報やらクレジットカード番号やらを登録して会員になると買い物もできる、というようなサービスで、パスワードが数字4桁なんてのはあり得ない話ですよね……。

機器が固有に持っている Subscriber ID がユーザ ID に相当し、パスワードは 4桁数字……という話だとすると、たかだか 1万回の試行で破れるパスワードは無いも同然です。

トライ回数が一定になるとロックがかかるシステムだとしても、何らかの方法で他人の Subscriber ID を大量に集めれば突破できます。パスワードをひとつ決めて、ID の方を変えて何度もトライすれば、そのうちログインできる ID がヒットするはずです。

問題は他人の Subscriber ID を集められるかというところですが、

という話になります。

この Subscriber ID は HTTP 要求ヘッダに常に含まれてしまっているらしく、さらにこの機器は HTTPS ではない場所にもアクセスできるとなると、これは間違いなく漏れます。やはり結論としては、「4桁数字の暗証番号はあり得ない」ということに……。