生年月日をパスワードにするよう指定 子育て支援サイトが話題 パスに認証以外の役割があった【神奈川】 [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
※ITmedia NEWS
生年月日をパスワードにするよう指定 子育て支援サイトが話題 パスに認証以外の役割があった
https://www.itmedia.co.jp/news/articles/2111/25/news174.html
2021年11月25日 19時15分 公開
[谷井将人,ITmedia]
神奈川県の子育て支援サイト「かながわ子育て応援パスポート」が、利用登録の際に子供の生年月日をパスワードにするよう指定していることがTwitterで話題になっている。指摘を受け、県は仕様を修正する予定。
かながわ子育て応援パスポートは、小学校6年生以下の子供を持つ子育て世代向けに、特典やサービス、支援施設などの情報を発信しているWebサイト。利用登録時にパスワードの設定画面で「最年少のお子さんの生年月日を半角数字で入力してください」と求めている。生年月日の書式になっていない場合は登録できず、設定後の変更はできない。
パスワードに認証以外の役割
県によると、パスワードに生年月日を指定しているのは、同サイトのパスワードがアカウント認証の他に、生年月日を確認する役割も持っているからだという。同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを参照する仕組みにしている。メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。
今回の指摘を受け、県は「本来なら生年月日とは別にパスワードを設定して認証するべきであり、今後はそのように改修する」としている。すでに登録しているユーザーには改修でき次第パスワードの変更を求める。 アホがあほなものを作るのはしょうがないにしても
それが実用されるところまでアホだらけの許可を経てるっていう
このアホだらけの役人しかいないっていう恐ろしい事実 ジャップは既に盗まれる物何も無いという
だけの事を肝に命じるべきやで
それが無いなら地獄の失われた50年やな >>168
個人情報保護法に2つ以上なんて縛りはないだろ >>214
ジャップは盗まれる物何も無いだけど
アメリカのイージス情報盗まれたバカ自衛隊員いたな >>176
客からの要求仕様がバカなら
ベンダーがこの要求仕様では
運用時にこういうトラブルが発生しませんか?って客に返すだろ ネット黎明期にちょこちょこ見かけたけど、今の時代にあるとはなぁ >>219
社内LAN上PCのパスワードとかだったら
ひとつ乗っ取ったらそこを踏み台にして
他を攻撃する >>212
どこからか入手するってw
運良くログインできる対象が見つかっても氏名すらわからないんだぞ
不効率すぎて全く意味のない攻撃だろ
そんなんだったらそのメアドのリストに一斉に適当な日付でバースデーメール送った方が効率的だわ これはパスワードではなく秘密鍵方式、いわゆる合言葉だな。 氏名に生年月日書かせれば良いだろ。
山田太郎20211126
みたいなので。 パスワードは数年以内に無くなると予想してるが
少なくとも子供がパスワード覚えられるか?
アンドロイドみたいなマスタイプの方が良いと思うが これでサービス継続してるってこと?
気持ちいいぐらい頭がおかしいなw
担当者がアホでした、じゃなくて県ぐるみでアホしかいないのか なんかこの言い訳の空気感、小室圭と魔弧の言い訳みたいだな >>26
患者IDが6桁だと、100万とおり
生年月日は、365とおり
100万かける365=3億650とおりだろ、
安全だよ。
問題ナイサー パスワードじゃなく
どこぞのあなたのお子さんの年齢は○○でしたっけ、
って確認してるだけだな
紛らわしい こんな非常識な設計を出す発注側と
それを唯々諾々と構築する受注側
地獄かよこの国は 子育て支援事業でアカウント・ログインまでのシステムができてたのは宮城と宮崎でみつけた
でもメルアド確認後にパスワードはシステムからの自動配布
初めから生年月日をパスワードにしたザルなのは神奈川だけのようだなw アドレス、パスワード、誕生日の3つで認証すりゃいいのに
2つでないとダメな理由があるの? >>229
おまえもいっぺんサイト運営してログ眺めてみろ
どっから持ってきたんだ的なメールアドレス総当たりで破りに来るぞ 問題だって騒いでるやつが多すぎ
誰も具体的に問題点を指摘できてないじゃないか
こんなのばっかりだから要求仕様もロクに書けないんだろうな パスワードの意味よ
誕生日とか一番安易なのになに考えてるんだ >>247
問題は本来はパスワード認証なんて必要ないシステムなのにパスワードを設けた事だな。
そのおかげでセキュリティ警察に騒がれてしまった。 >>245
それは破った先に得られるものがあるから意味があるんだろ
さっき言ってたようなレベルじゃIDとパスワード適当に打ったら他人のマイページに入れてしまった、レベルのリスクとほとんど変わらない。 普通にハッカーになった方が儲かる
ワロタ
NゴムとかIIJでも低学歴のバカだろw えっと、特定年齢対象のサービスなのに生年月日をデータとして保持していない???
設計したバカ出てこいwwwww 発注者はやりたいことだけはちゃんと言葉にして要求事項として整理するだろうけど
セキュリティのことまではベンダーにお任せだろうなあ これも馬鹿だけど最近やっとPPAPメール送ってくる馬鹿も減ってきた気がする
でも急にやめるんじゃなくて反省文を取引先に送ってほしい >>256
セキュリティの話以前だよ
生年月日必要なのにデータとして持ってないからパスワードに設定してもらって流用しようと言うどうしようもない腐った仕様 >>251
意味がないか決めるのはオマエじゃなくて攻撃者と被害者だろ 一石二鳥俺天才!みたいな声だけデカい老害の存在が透けて見えるw これ、不正アクセスし放題ってことか
いや、公知の情報を使ってアクセスできるならそれは不正アクセスですらないのか >>263
いやいやリスク評価として許容範囲だろ
この程度のサイトにマイナンバーカード認証でも導入した方がいいっていうのか? 神奈川県はセキュリティアドバイザーとして、セキュリティ大学院大学と提携してたと思ったんだがー >>1
頭悪すぎて草
鍵の役割してないじゃないか
設計した奴バカなのかな >>241
発注側がそうしろと指定してきたら
受注側はどんなにクソ仕様でも実装するわ 大昔、旅先で知り合った女の子のウェブメールにふと彼女の生年月日をパスワードに入力したら入れてまったことがある
メールボックスは俺からのメールしかなかったがw
ウェブメール黎明期の話 今でも管理者がパスワードを見られるシステムあったのね >>277
発注側に言うけど受け入れる客もいるし受けいれない客もいる >>278
フリーのWebメールだったらそれはお前が使い捨ての男ってことじゃね? >>156,247
子ども10万円給付の偽サイト誘導メールを
送れば爆釣れかも。不審だけでメディア狂喜
仕様の正当性や役人の面子を守ろうとして
トドメの2発目を弾込めしているようなもの パスワードって言わずに生年月日登録とすればよかっただけ >>1
個人情報を利用する気満々
サイテーな自治体だな >>114
なるほど、やっと意味がわかった
生年月日の入力欄を、パスワード欄にした
って事か リリースするまでに
誰も指摘しないのかw
俺もそこで働きたい これ、直したところで管理者がパスワード読み取れる仕様はそのままになったりするんじゃね? どこが開発したんだよw
そこにシステム開発二度と発注するな その子が大きくなったときに
銀行口座とかのパスを生年月日にしちゃってたらアウトやね 生年月日等、第三者が容易に推測出来る数字での登録は絶対におやめください 秦野のヤリチン平松と新潟出身ヤリマン関根奈々子の生息地だけのことはある >>39
ありがち。データベース設計は一番最初にやるから影響がデカすぎて修正できなくなる。予算や納期的に。
ただこの件はパスワードを使わないつもりのシステムについて、後から生年月日をパスワードだと言い張ってるだけな気がする。 19800501で400個ぐらいアカウント作ってる >>300
あー
セキュリティ音痴な担当者がパスワードなしで業者に開発指示しちゃったけど
後からポリシー違反になるとかがわかって、でも契約変更して失点になるのが嫌で、
パスワードなんですと強弁した展開かな?
一番の謎は、既にリリースしちゃってること
こういう開発案件って、リリース前に県のセキュリティ部門がチェックしないのかな?
縄張りがあって手を出せないのかもしれないが、
利用者は県民で、県として責任を負う以上、普通はチェックするよね 仕様に生年月日入力機能がなかった説と、パスワード機能がなかった説があるけど、
サービス内容的に最初から生年月日がないとは考えにくいし、
パスワード機能なしも考えにくいので、
アカウント失効機能をつけ忘れてた説かなあ
入力される生年月日は、
利用者の子供の生年月日として使われるのではなく(それは別途入力)
失効条件チェックにだけ使われる数字であり、
レコード上の生年月日とは別扱いだったりして >利用登録の際に子供の生年月日をパスワードにするよう指定
>最年少のお子さんの生年月日を半角数字で入力してください
こんなの身内はもちろん職場とか学生時代の友達とか
ママ友とか下手するとご近所さんとかにもバレバレ情報じゃん
おっそろしい 該当する世帯だがこんなサービス初耳
コロナで外出支援なんか意味がない上にこんなザルシステムなら知らなくて正解だったけど パスワードじゃなくてIDを生年月日含めれば
問題にならないのに
何やってるの神奈川県 うちの施設のドアロックも暗証番号が生年月日。
そこまでのセキュリティーじゃないから良いんだけど。
修正することも出来ないし、する気も無い。 メアド入手がネックだが、あとは当確年代と365日総当たりで2千チョイだな・・(´・ω・`) >>268
アスといったらassの方なんですよね、わかりまつ 作ってる側の知能が第三世界レベルでヤバい
勉強してないどこかのジャングルの部族の方が頭いいんじゃね? ■ このスレッドは過去ログ倉庫に格納されています