新生鳩丸掲示板♯

Googleから通報済に1000点。いや，しないか…。

当然のこととして担当者でもパスワードは読み出せないと思ってました。技術的には、とても簡単なことですよね。

でも、職場で汎用機の管理をまかされることになって、管理者は端末のパスワードが読めるんですよ。

それからは、職場での認証パスワードは、「完全ランダムで個人のISPとかで使っていたパスワード」から、すべて「類推可能な簡単なもの」に変えました。

おおお。trac使ってる!(そっちか)

>魔の島って帰ったら二度といけないですよ・・・

　御意。ヨービルの宿屋のデータからやり直しました。

>#って、「暗証番号」で良いのかどうかという話は別途ありますが。

とりあえずシティの場合は、暗証番号が2種類あって、受けるサービスに応じてどちらかが要求されるのですが、どっちが要求されているのかわかりにくくて（僕には）、はねられたりすること多数です。まあ、そういう意味では暗証番号だとしても固いのかもしれません[謎]。

現在銀行大手はATMでの変更が可能です。

JCBやUCカードのICのパスワードが24時間変更可能になるのは来年６月ですね。

http://www.jcbcorporate.com/news/dr-385.html

魔の島って帰ったら二度といけないですよ・・・

マップアビ不備で帰ったら戻れなかったですし

形を変えた内部告発だったりして :-)

>　ところでカードの暗証番号って簡単に変更できるものなのでしょうか。

>　なんかカードによっては暗証番号を変えると作り直しになるとかいう話もあるようですが (IC カードの場合?)、シティカードでは簡単に変更できますか?

最近はATMで暗証番号を変える事が出来るサービスが増えてきているようです。

http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html#PHP_Session_Fixation

いや、私は全然PHPわからんですがニオイで。

>http://www.nifty.com/support/information/pw_webinquiry.htm

>によると、2005年2月28日からだそうです。

　なるほど、けっこう最近なのですね。

> 私もこのシステムを全然知らなかったのですが、最近できたのでしょうか?

http://www.nifty.com/support/information/pw_webinquiry.htm

によると、2005年2月28日からだそうです。

>カードの暗証番号はカスタマーサービスに電話すれば変更できます。それを簡単というのかどうかは謎ですが、まあ特に問題ない感じです。

　なるほど。でしたら初期暗証番号を勝手に決められても、すぐに覚えやすいものに変更できるわけですね。

#って、「暗証番号」で良いのかどうかという話は別途ありますが。

>　ところでカードの暗証番号って簡単に変更できるものなのでしょうか。

>　なんかカードによっては暗証番号を変えると作り直しになるとかいう話もあるようですが (IC カードの場合?)、シティカードでは簡単に変更できますか?

カードの暗証番号はカスタマーサービスに電話すれば変更できます。それを簡単というのかどうかは謎ですが、まあ特に問題ない感じです。

>シティカードの場合は、勝手に適当な番号が発番されてくるような気がします（いわゆる初期パスワード的な）。

　情報どうもです。

http://www.citibank.co.jp/ccsi/online/index.html

　にアクセスしてみたら「javascriptを使用しています。javascriptの使用をonにしてリロードしてください。」というのが 6回も繰り返されたりしていてかなりの気合を感じました。

　ところでカードの暗証番号って簡単に変更できるものなのでしょうか。

　なんかカードによっては暗証番号を変えると作り直しになるとかいう話もあるようですが (IC カードの場合?)、シティカードでは簡単に変更できますか?

>>もっと金銭に直結するクレジットカードなんかは申込書に暗証番号をじかに書かせますよ。

>　それは望ましいことだと思われて行われているのでしょうか。それとも、他に良い方法がないから仕方なくそうなっているのでしょうか。

シティカードの場合は、勝手に適当な番号が発番されてくるような気がします（いわゆる初期パスワード的な）。

>もっと金銭に直結するクレジットカードなんかは申込書に暗証番号をじかに書かせますよ。

　それは望ましいことだと思われて行われているのでしょうか。それとも、他に良い方法がないから仕方なくそうなっているのでしょうか。

　紙ベースの申込書を書くような場合、たとえば手計算でハッシュ値を計算して申込書に書く、というのは現実的ではないわけで、他の良い方法がないのではないかと思うのです。

　紙ベースの申し込みではなく、申し込みが最初から電算処理されているのであれば、誰もその暗証番号を知らないようにするのは簡単です。

　その場合は誰も知らないようにした方が良いと思いますか?

　それとも、その場合でも管理者が読めるようにした方が良いと思われますか?

　いや、実は「管理者はパスワードが読めた方が良い」という考えは意外に根強いようなのです。実際にそういう要件を盛り込もうとしてくるクライアントがいたりしますので、そういう考え方もあるのだろうと思うのですが、どうしてそのようにしたいのかが良く分からないのですよね。

>「ニフティのパスワードは読み出し可能」

>は

>「ニフティのパスワードはニフティ側が知ることが出来る」

>にすべきじゃない？

　これはむしろ逆ですね。パスワードリマインダの機能があって、ニフティの担当者でなくても読めると言うことが明らかになりました。基本的にはユーザ自身が読むことを想定しているわけですが……。

>担当者が読み出せないＩＳＰを知りたいくらい。

　名前は出せませんが、少なくとも私が昔サーバを管理していた某所では読み出せませんでした。初期パスワードの履歴は残していましたが、ユーザが一度パスワードを変更したら最後、管理者でもそれを知ることは出来ません。

　これはセキュリティ上の理由であると同時に、ISP 側のリスク管理の問題でもあります。私の場合はサフィックスを使い回していただけですが、全く同じパスワードを使い回すユーザも存在するので、そのパスワードを ISP 側が知り得ると変なリスクがついてきます。言いたいことは分かると思いますので、あえて詳しくは述べませんが……。

　多くの ISP はそうしているだろうと思っていたのですが、逆にそうでない ISP の方が多いのでしょうか?

>問題の「パスワードを郵便物に印刷して送ってくる」って点だけど

>他のＩＳＰも契約時にはログインパスワードを郵便で送ってくるよね。

>ただ、直ぐに変更して下さいとは書いてあるけど。

　ユーザが入力したのではなく、ISP が初期パスワードを発行したなら、それを印字して送ってくるのは普通のことだと思います。その場合、ユーザがパスワードをすぐに変更すればメモも残らないし、問題ないわけです。

　しかし、初期パスワードではなく、ユーザが入力したパスワードを印字してくるというのはちょっと聞いたことがありません。そういうことをする ISP ってニフティの他にあるのでしょうか。

もっと金銭に直結するクレジットカードなんかは申込書に暗証番号をじかに書かせますよ。その上からシールを貼りますが、はがせないシールだと誰も読み取れないので、はがせるシールです。

銀行に口座作るときも似たような話だと思いますが。

それに比べれば、どうでもいいことを問題にしている気がします。

うーん

「ニフティのパスワードは読み出し可能」

は

「ニフティのパスワードはニフティ側が知ることが出来る」

にすべきじゃない？

興味を引くって点でいいtopic名？だけどかなり語弊があるよね。

パッと見、誰にでも読み出せるの？と思えるし。

あと他の殆ど全てのＩＳＰでも担当者はパスワードを読み出せます。

ユーザーが忘れた時などのために。

担当者が読み出せないＩＳＰを知りたいくらい。

（セキュリティー状そのような行為は出来ませんと答えるＩＳＰは別にして）

問題の「パスワードを郵便物に印刷して送ってくる」って点だけど

他のＩＳＰも契約時にはログインパスワードを郵便で送ってくるよね。

ただ、直ぐに変更して下さいとは書いてあるけど。

ニフティーの郵便には変更して下さい云々の言葉は書いてなかったのかな？

書いてなかったとしたら無料サービスとはいえ問題だねぇ。