生年月日をパスワードにするよう指定　子育て支援サイトが話題　パスに認証以外の役割があった【神奈川】 [少考さん★]

**少考さん ★** · 2021/11/25(木) 23:06:34.65

※ITmedia NEWS

生年月日をパスワードにするよう指定　子育て支援サイトが話題　パスに認証以外の役割があった
https://www.itmedia.co.jp/news/articles/2111/25/news174.html

2021年11月25日 19時15分公開

[谷井将人，ITmedia]

　神奈川県の子育て支援サイト「かながわ子育て応援パスポート」が、利用登録の際に子供の生年月日をパスワードにするよう指定していることがTwitterで話題になっている。指摘を受け、県は仕様を修正する予定。

かながわ子育て応援パスポートは、小学校6年生以下の子供を持つ子育て世代向けに、特典やサービス、支援施設などの情報を発信しているWebサイト。利用登録時にパスワードの設定画面で「最年少のお子さんの生年月日を半角数字で入力してください」と求めている。生年月日の書式になっていない場合は登録できず、設定後の変更はできない。

パスワードに認証以外の役割

　県によると、パスワードに生年月日を指定しているのは、同サイトのパスワードがアカウント認証の他に、生年月日を確認する役割も持っているからだという。同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを参照する仕組みにしている。メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。

今回の指摘を受け、県は「本来なら生年月日とは別にパスワードを設定して認証するべきであり、今後はそのように改修する」としている。すでに登録しているユーザーには改修でき次第パスワードの変更を求める。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:11:16.65

>>129
発注者が馬鹿だとどうにもならんだろ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:12:08.22

IT大臣の見解はよ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:12:52.40

プロジェクトを受注したのはサンケイリビングの不治関係のようだな
それをどこに丸投げしたのかまでは知らんが

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:12:56.54

神奈川って小泉進次郎みたいなのばっかやん。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:13:08.73

子供の生年月日を誰にも教えない、どこにも書かなければパスワードとして使えるぞ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:14:18.89

>>137
留年する児童なんかいるのか？

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:14:19.29

パスワード？
数字の羅列がワードってのは何？

パスフレーズとかPINコードなのでは？

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:14:42.21

>>138
女は子供いたら子供の誕生日が多いんじゃないかな
んで男は子供の誕生日は覚えていない

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:15:16.45

神奈川人の頭がおかしいとは思いたくないので、
いくらなんでも内部的に「これマズイでしょ？」って意見あっただろ。
そして、無能な管理職が握り潰したのが事実なんじゃないの？
今後の改善点としては、そいつを吊し上げる事が最も重要。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:15:22.26

>>177
USBって美味しいの？(^q^)

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:15:29.42

ワクチン予約システムじゃん
接種券に生年月日が和暦で書かれてるしパクられたらイタズラされるw

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:15:57.64

>>1
認証というものが何かわかってないやつがWebサイトなんか運営するな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:16:19.96

認証した先に認証までして守るべき情報がないわけだから、この仕様でセキュリティ上の問題はないだろ
単にアダルトサイトと同じで年齢確認の手段に過ぎない
IDとパスって名称だからやばい感じがするだけ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:16:31.96

どこのIT業者が請け負ったのか知らんが
そもそも県と仕様の打ち合わせしてるはず

パスワードなしのデータベースが先にあって
後から認証しろ的な無茶ぶりされて
生年月日を活用したか、
当初から生年月日で表示振り分けはするつもりだったけど
ログイン的なものではないからそもそもパスワード認証の意味合いはない…
かのどっちかなんじゃないか？

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:18:00.50

知り合いの自称サイトに詳しい奥さんが作ったとかか？
神奈川県が音頭とってるサイトなら、県はバカ過ぎる
県民として呆れるわ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:18:05.90

即リセットと一時閉鎖で流出阻止してから、
改修後に再入力して貰った方が無難だけどな

初期パスワードならまだしも、固定だし。
アドレス類推も容易なら暇人の的になるで。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:18:28.68

記事タイトルで一瞬頭が混乱してしまった

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:18:35.53

>>157
何言ってるんだ？

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:19:26.26

これって県側はパスワード分かっちゃうわけ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:19:52.52

デジタル庁に比べたら高度すぎる不手際

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:20:20.51

>>178
富士通？

ジャップ終わってたな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:20:26.98

>>188
おまえか？これ作ったの

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:21:02.73

>>196
サンケイって言うからフジサンケイグループかと思ったが

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:21:49.98

ナニコレ珍仕様

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:22:33.07

>>197
これのセキュリティ上のリスクを説明してみなよ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:23:52.27

>>198
そう↓
>>171

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:24:07.81

え？

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:25:03.32

>>138
彼女の誕生日が11/11だから絶対使えないww

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:26:30.49

>>178
>>201
サンケイリビングが受注したのは協力施設獲得業務でそ。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:26:40.84

>>201
フジサンケイwww

やっぱり安倍のせい

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:27:26.91

>>203
そういう時は彼女の誕生年の西暦でいいんだよ。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:28:05.44

パスワードではなくて年齢認証と表示して生年月まで入力させれば問題無かったんじゃない？
なんか騒ぎすぎ。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:28:15.47

>>178
さすが富士通だ
確認のカの字もないぜ！

大手ベンダーはこんなのばっかり
ソフトハウスのがいい仕事するぜ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:28:42.61

「パスワードを保存しますか？」
ブラウザにガッツリ残る可能性

パスワードは随時変えられてこそ意味があるんだよ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:28:45.17

パスワードのことをパスって言うな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:28:59.54

単に項目名を生年月日にすれば良いだけなのでは…

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:29:08.28

>>200
サイトの内容から攻撃者はここの会員は神奈川県内に小学生の子供を持つ親であることを推測出来る。
またサイトの案内から攻撃者はここのパスワードが子供の生年月日だと推測出来る。
ある時点でのパスワードのパターンは365*6+閏年の数なので最大で2192パターン。
どこかからメールアドレスのリストが得られれば2192パターンなんて数秒で試せる。
子供の生年月日とその親のメールアドレスがわかれば悪用なんていくらでも出来る。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:29:31.28

>>210
わかるわ
俺もフルで書く派

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:30:11.42

お前ら「彼女誕生日ドヤア！」

数字なんか総当たりの一番最初で一瞬やからwww

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:30:14.74

>>184
マズイなんて思う役人居るかなあ？

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:32:35.52

しかもパスワード管理者に見られるのか

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:32:35.92

IDがメールではなく連番だったら悪質かも

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:33:27.40

>>8
それならそもそも認証不要の公開ページにすればいいだけだしな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:33:39.83

大文字小文字英数字混在のパスワード設定させるところ嫌い。
前回設定したパスはダメとか複雑にしすぎ。突破されたら自己責任にしろって

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:34:09.92

アホがあほなものを作るのはしょうがないにしても
それが実用されるところまでアホだらけの許可を経てるっていう
このアホだらけの役人しかいないっていう恐ろしい事実

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:34:13.18

ジャップは既に盗まれる物何も無いという
だけの事を肝に命じるべきやで

それが無いなら地獄の失われた50年やな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:35:04.19

目が点、なんか意味わからない

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:35:17.40

>>168
個人情報保護法に２つ以上なんて縛りはないだろ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:37:16.00

>>214
ジャップは盗まれる物何も無いだけど

アメリカのイージス情報盗まれたバカ自衛隊員いたな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:37:38.32

>>176
客からの要求仕様がバカなら
ベンダーがこの要求仕様では
運用時にこういうトラブルが発生しませんか？って客に返すだろ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:38:25.89

ネット黎明期にちょこちょこ見かけたけど、今の時代にあるとはなぁ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:38:40.14

>>219
社内LAN上PCのパスワードとかだったら
ひとつ乗っ取ったらそこを踏み台にして
他を攻撃する

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:38:57.90

このシステムに専門家は一人もかかわってないんか

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:39:09.54

>>212
どこからか入手するってw
運良くログインできる対象が見つかっても氏名すらわからないんだぞ
不効率すぎて全く意味のない攻撃だろ
そんなんだったらそのメアドのリストに一斉に適当な日付でバースデーメール送った方が効率的だわ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:39:11.87

これはパスワードではなく秘密鍵方式、いわゆる合言葉だな。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:40:08.91

氏名に生年月日書かせれば良いだろ。
山田太郎20211126
みたいなので。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:40:09.05

パスワードは数年以内に無くなると予想してるが
少なくとも子供がパスワード覚えられるか？
アンドロイドみたいなマスタイプの方が良いと思うが

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:40:44.58

作ったやつが一番アホみたいなシステムだな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:41:31.95

>>139
破ったところで実害無いけどな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:42:11.54

なるほどぉ。それなら忘れないですむな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:43:28.14

これでサービス継続してるってこと？
気持ちいいぐらい頭がおかしいなｗ

担当者がアホでした、じゃなくて県ぐるみでアホしかいないのか

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:43:43.70

なんかこの言い訳の空気感、小室圭と魔弧の言い訳みたいだな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:45:55.62

>>26
患者IDが6桁だと、100万とおり
生年月日は、365とおり

100万かける365=3億650とおりだろ、
安全だよ。
問題ナイサー

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:46:14.09

パスワードじゃなく
どこぞのあなたのお子さんの年齢は○○でしたっけ、
って確認してるだけだな
紛らわしい

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:46:16.63

百万人分の生年月日付メルアドが無価値ねえ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:46:18.34

こんな非常識な設計を出す発注側と
それを唯々諾々と構築する受注側

地獄かよこの国は

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:46:27.91

子育て支援事業でアカウント・ログインまでのシステムができてたのは宮城と宮崎でみつけた
でもメルアド確認後にパスワードはシステムからの自動配布
初めから生年月日をパスワードにしたザルなのは神奈川だけのようだなｗ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:47:56.49

アドレス、パスワード、誕生日の３つで認証すりゃいいのに
2つでないとダメな理由があるの？

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:48:00.37

明らかにハッカーになった方が稼げるわ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:48:16.67

>>229
おまえもいっぺんサイト運営してログ眺めてみろ
どっから持ってきたんだ的なメールアドレス総当たりで破りに来るぞ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:48:19.50

俺みたいに生年月日無い人間はどしたらええん。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:49:09.34

問題だって騒いでるやつが多すぎ
誰も具体的に問題点を指摘できてないじゃないか
こんなのばっかりだから要求仕様もロクに書けないんだろうな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:50:30.71

渡る世間は穴ばかり

ハッカーになるわ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:50:50.65

パスワードの意味よ
誕生日とか一番安易なのになに考えてるんだ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:52:29.58

>>247
問題は本来はパスワード認証なんて必要ないシステムなのにパスワードを設けた事だな。
そのおかげでセキュリティ警察に騒がれてしまった。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:52:55.97

>>245
それは破った先に得られるものがあるから意味があるんだろ
さっき言ってたようなレベルじゃIDとパスワード適当に打ったら他人のマイページに入れてしまった、レベルのリスクとほとんど変わらない。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:54:29.06

普通にハッカーになった方が儲かる

ワロタ

NゴムとかIIJでも低学歴のバカだろw

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:54:44.38

えっと、特定年齢対象のサービスなのに生年月日をデータとして保持していない？？？
設計したバカ出てこいwwwww

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:55:18.40

仕様決めたバカ誰だ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:55:25.90

指定したらパスワードの意味ないだろｗ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:57:11.47

発注者はやりたいことだけはちゃんと言葉にして要求事項として整理するだろうけど

セキュリティのことまではベンダーにお任せだろうなあ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:57:20.30

登録したあとで子供産むだろ普通に

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:58:29.10

これも馬鹿だけど最近やっとPPAPメール送ってくる馬鹿も減ってきた気がする
でも急にやめるんじゃなくて反省文を取引先に送ってほしい

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:59:29.93

>>246
生まれて来てから登録してください

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:00:38.42

>>256
セキュリティの話以前だよ
生年月日必要なのにデータとして持ってないからパスワードに設定してもらって流用しようと言うどうしようもない腐った仕様

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:00:46.07

デジタル大国ニッポン！！

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:01:02.59

仕様決めたのはバカ役人だろうけど・・いやしかしw

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:01:24.90

>>251
意味がないか決めるのはオマエじゃなくて攻撃者と被害者だろ

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:01:48.53

>>260
パスワード＝セキュリティなんだが

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:01:55.82

別にここに何もなくても足がかりにするだけ

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:01:58.44

え？パスワードを平文で保存してるのかよこっわ

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:02:03.12

一石二鳥俺天才！みたいな声だけデカい老害の存在が透けて見えるｗ

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:02:28.34

>>210
パスといったらpathの方だよな

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:05:22.35

ザルワードwww

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:06:05.16

合理的配慮も行き過ぎると怒られる

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:16:35.14

これ、不正アクセスし放題ってことか
いや、公知の情報を使ってアクセスできるならそれは不正アクセスですらないのか

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:17:11.97

それパスワードやない
パースデイや

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:18:45.53

そもそもなんの役にもたたないゴミパスポート

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:19:28.10

>>263
いやいやリスク評価として許容範囲だろ
この程度のサイトにマイナンバーカード認証でも導入した方がいいっていうのか？

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:19:36.36

神奈川県はセキュリティアドバイザーとして、セキュリティ大学院大学と提携してたと思ったんだがー

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:19:40.45

>>1
頭悪すぎて草

鍵の役割してないじゃないか
設計した奴バカなのかな