生年月日をパスワードにするよう指定 子育て支援サイトが話題 パスに認証以外の役割があった【神奈川】 [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
※ITmedia NEWS
生年月日をパスワードにするよう指定 子育て支援サイトが話題 パスに認証以外の役割があった
https://www.itmedia.co.jp/news/articles/2111/25/news174.html
2021年11月25日 19時15分 公開
[谷井将人,ITmedia]
神奈川県の子育て支援サイト「かながわ子育て応援パスポート」が、利用登録の際に子供の生年月日をパスワードにするよう指定していることがTwitterで話題になっている。指摘を受け、県は仕様を修正する予定。
かながわ子育て応援パスポートは、小学校6年生以下の子供を持つ子育て世代向けに、特典やサービス、支援施設などの情報を発信しているWebサイト。利用登録時にパスワードの設定画面で「最年少のお子さんの生年月日を半角数字で入力してください」と求めている。生年月日の書式になっていない場合は登録できず、設定後の変更はできない。
パスワードに認証以外の役割
県によると、パスワードに生年月日を指定しているのは、同サイトのパスワードがアカウント認証の他に、生年月日を確認する役割も持っているからだという。同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを参照する仕組みにしている。メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。
今回の指摘を受け、県は「本来なら生年月日とは別にパスワードを設定して認証するべきであり、今後はそのように改修する」としている。すでに登録しているユーザーには改修でき次第パスワードの変更を求める。 プロジェクトを受注したのはサンケイリビングの不治関係のようだな
それをどこに丸投げしたのかまでは知らんが 子供の生年月日を誰にも教えない、どこにも書かなければパスワードとして使えるぞ パスワード?
数字の羅列がワードってのは何?
パスフレーズとかPINコードなのでは? >>138
女は子供いたら子供の誕生日が多いんじゃないかな
んで男は子供の誕生日は覚えていない 神奈川人の頭がおかしいとは思いたくないので、
いくらなんでも内部的に「これマズイでしょ?」って意見あっただろ。
そして、無能な管理職が握り潰したのが事実なんじゃないの?
今後の改善点としては、そいつを吊し上げる事が最も重要。 ワクチン予約システムじゃん
接種券に生年月日が和暦で書かれてるしパクられたらイタズラされるw >>1
認証というものが何かわかってないやつがWebサイトなんか運営するな 認証した先に認証までして守るべき情報がないわけだから、この仕様でセキュリティ上の問題はないだろ
単にアダルトサイトと同じで年齢確認の手段に過ぎない
IDとパスって名称だからやばい感じがするだけ どこのIT業者が請け負ったのか知らんが
そもそも県と仕様の打ち合わせしてるはず
パスワードなしのデータベースが先にあって
後から認証しろ的な無茶ぶりされて
生年月日を活用したか、
当初から生年月日で表示振り分けはするつもりだったけど
ログイン的なものではないからそもそもパスワード認証の意味合いはない…
かのどっちかなんじゃないか? 知り合いの自称サイトに詳しい奥さんが作ったとかか?
神奈川県が音頭とってるサイトなら、県はバカ過ぎる
県民として呆れるわ 即リセットと一時閉鎖で流出阻止してから、
改修後に再入力して貰った方が無難だけどな
初期パスワードならまだしも、固定だし。
アドレス類推も容易なら暇人の的になるで。 >>196
サンケイって言うからフジサンケイグループかと思ったが >>197
これのセキュリティ上のリスクを説明してみなよ >>138
彼女の誕生日が11/11だから絶対使えないww >>178
>>201
サンケイリビングが受注したのは協力施設獲得業務でそ。 >>201
フジサンケイwww
やっぱり安倍のせい >>203
そういう時は彼女の誕生年の西暦でいいんだよ。 パスワードではなくて年齢認証と表示して生年月まで入力させれば問題無かったんじゃない?
なんか騒ぎすぎ。 >>178
さすが富士通だ
確認のカの字もないぜ!
大手ベンダーはこんなのばっかり
ソフトハウスのがいい仕事するぜ 「パスワードを保存しますか?」
ブラウザにガッツリ残る可能性
パスワードは随時変えられてこそ意味があるんだよ >>200
サイトの内容から攻撃者はここの会員は神奈川県内に小学生の子供を持つ親であることを推測出来る。
またサイトの案内から攻撃者はここのパスワードが子供の生年月日だと推測出来る。
ある時点でのパスワードのパターンは365*6+閏年の数なので最大で2192パターン。
どこかからメールアドレスのリストが得られれば2192パターンなんて数秒で試せる。
子供の生年月日とその親のメールアドレスがわかれば悪用なんていくらでも出来る。 お前ら「彼女誕生日ドヤア!」
数字なんか総当たりの一番最初で一瞬やからwww >>8
それならそもそも認証不要の公開ページにすればいいだけだしな 大文字小文字英数字混在のパスワード設定させるところ嫌い。
前回設定したパスはダメとか複雑にしすぎ。突破されたら自己責任にしろって アホがあほなものを作るのはしょうがないにしても
それが実用されるところまでアホだらけの許可を経てるっていう
このアホだらけの役人しかいないっていう恐ろしい事実 ジャップは既に盗まれる物何も無いという
だけの事を肝に命じるべきやで
それが無いなら地獄の失われた50年やな >>168
個人情報保護法に2つ以上なんて縛りはないだろ >>214
ジャップは盗まれる物何も無いだけど
アメリカのイージス情報盗まれたバカ自衛隊員いたな >>176
客からの要求仕様がバカなら
ベンダーがこの要求仕様では
運用時にこういうトラブルが発生しませんか?って客に返すだろ ネット黎明期にちょこちょこ見かけたけど、今の時代にあるとはなぁ >>219
社内LAN上PCのパスワードとかだったら
ひとつ乗っ取ったらそこを踏み台にして
他を攻撃する >>212
どこからか入手するってw
運良くログインできる対象が見つかっても氏名すらわからないんだぞ
不効率すぎて全く意味のない攻撃だろ
そんなんだったらそのメアドのリストに一斉に適当な日付でバースデーメール送った方が効率的だわ これはパスワードではなく秘密鍵方式、いわゆる合言葉だな。 氏名に生年月日書かせれば良いだろ。
山田太郎20211126
みたいなので。 パスワードは数年以内に無くなると予想してるが
少なくとも子供がパスワード覚えられるか?
アンドロイドみたいなマスタイプの方が良いと思うが これでサービス継続してるってこと?
気持ちいいぐらい頭がおかしいなw
担当者がアホでした、じゃなくて県ぐるみでアホしかいないのか なんかこの言い訳の空気感、小室圭と魔弧の言い訳みたいだな >>26
患者IDが6桁だと、100万とおり
生年月日は、365とおり
100万かける365=3億650とおりだろ、
安全だよ。
問題ナイサー パスワードじゃなく
どこぞのあなたのお子さんの年齢は○○でしたっけ、
って確認してるだけだな
紛らわしい こんな非常識な設計を出す発注側と
それを唯々諾々と構築する受注側
地獄かよこの国は 子育て支援事業でアカウント・ログインまでのシステムができてたのは宮城と宮崎でみつけた
でもメルアド確認後にパスワードはシステムからの自動配布
初めから生年月日をパスワードにしたザルなのは神奈川だけのようだなw アドレス、パスワード、誕生日の3つで認証すりゃいいのに
2つでないとダメな理由があるの? >>229
おまえもいっぺんサイト運営してログ眺めてみろ
どっから持ってきたんだ的なメールアドレス総当たりで破りに来るぞ 問題だって騒いでるやつが多すぎ
誰も具体的に問題点を指摘できてないじゃないか
こんなのばっかりだから要求仕様もロクに書けないんだろうな パスワードの意味よ
誕生日とか一番安易なのになに考えてるんだ >>247
問題は本来はパスワード認証なんて必要ないシステムなのにパスワードを設けた事だな。
そのおかげでセキュリティ警察に騒がれてしまった。 >>245
それは破った先に得られるものがあるから意味があるんだろ
さっき言ってたようなレベルじゃIDとパスワード適当に打ったら他人のマイページに入れてしまった、レベルのリスクとほとんど変わらない。 普通にハッカーになった方が儲かる
ワロタ
NゴムとかIIJでも低学歴のバカだろw えっと、特定年齢対象のサービスなのに生年月日をデータとして保持していない???
設計したバカ出てこいwwwww 発注者はやりたいことだけはちゃんと言葉にして要求事項として整理するだろうけど
セキュリティのことまではベンダーにお任せだろうなあ これも馬鹿だけど最近やっとPPAPメール送ってくる馬鹿も減ってきた気がする
でも急にやめるんじゃなくて反省文を取引先に送ってほしい >>256
セキュリティの話以前だよ
生年月日必要なのにデータとして持ってないからパスワードに設定してもらって流用しようと言うどうしようもない腐った仕様 >>251
意味がないか決めるのはオマエじゃなくて攻撃者と被害者だろ 一石二鳥俺天才!みたいな声だけデカい老害の存在が透けて見えるw これ、不正アクセスし放題ってことか
いや、公知の情報を使ってアクセスできるならそれは不正アクセスですらないのか >>263
いやいやリスク評価として許容範囲だろ
この程度のサイトにマイナンバーカード認証でも導入した方がいいっていうのか? 神奈川県はセキュリティアドバイザーとして、セキュリティ大学院大学と提携してたと思ったんだがー >>1
頭悪すぎて草
鍵の役割してないじゃないか
設計した奴バカなのかな ■ このスレッドは過去ログ倉庫に格納されています