生年月日をパスワードにするよう指定　子育て支援サイトが話題　パスに認証以外の役割があった【神奈川】 [少考さん★]

**少考さん ★** · 2021/11/25(木) 23:06:34.65

※ITmedia NEWS

生年月日をパスワードにするよう指定　子育て支援サイトが話題　パスに認証以外の役割があった
https://www.itmedia.co.jp/news/articles/2111/25/news174.html

2021年11月25日 19時15分公開

[谷井将人，ITmedia]

　神奈川県の子育て支援サイト「かながわ子育て応援パスポート」が、利用登録の際に子供の生年月日をパスワードにするよう指定していることがTwitterで話題になっている。指摘を受け、県は仕様を修正する予定。

かながわ子育て応援パスポートは、小学校6年生以下の子供を持つ子育て世代向けに、特典やサービス、支援施設などの情報を発信しているWebサイト。利用登録時にパスワードの設定画面で「最年少のお子さんの生年月日を半角数字で入力してください」と求めている。生年月日の書式になっていない場合は登録できず、設定後の変更はできない。

パスワードに認証以外の役割

　県によると、パスワードに生年月日を指定しているのは、同サイトのパスワードがアカウント認証の他に、生年月日を確認する役割も持っているからだという。同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを参照する仕組みにしている。メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。

今回の指摘を受け、県は「本来なら生年月日とは別にパスワードを設定して認証するべきであり、今後はそのように改修する」としている。すでに登録しているユーザーには改修でき次第パスワードの変更を求める。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:34:09.92

アホがあほなものを作るのはしょうがないにしても
それが実用されるところまでアホだらけの許可を経てるっていう
このアホだらけの役人しかいないっていう恐ろしい事実

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:34:13.18

ジャップは既に盗まれる物何も無いという
だけの事を肝に命じるべきやで

それが無いなら地獄の失われた50年やな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:35:04.19

目が点、なんか意味わからない

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:35:17.40

>>168
個人情報保護法に２つ以上なんて縛りはないだろ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:37:16.00

>>214
ジャップは盗まれる物何も無いだけど

アメリカのイージス情報盗まれたバカ自衛隊員いたな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:37:38.32

>>176
客からの要求仕様がバカなら
ベンダーがこの要求仕様では
運用時にこういうトラブルが発生しませんか？って客に返すだろ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:38:25.89

ネット黎明期にちょこちょこ見かけたけど、今の時代にあるとはなぁ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:38:40.14

>>219
社内LAN上PCのパスワードとかだったら
ひとつ乗っ取ったらそこを踏み台にして
他を攻撃する

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:38:57.90

このシステムに専門家は一人もかかわってないんか

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:39:09.54

>>212
どこからか入手するってw
運良くログインできる対象が見つかっても氏名すらわからないんだぞ
不効率すぎて全く意味のない攻撃だろ
そんなんだったらそのメアドのリストに一斉に適当な日付でバースデーメール送った方が効率的だわ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:39:11.87

これはパスワードではなく秘密鍵方式、いわゆる合言葉だな。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:40:08.91

氏名に生年月日書かせれば良いだろ。
山田太郎20211126
みたいなので。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:40:09.05

パスワードは数年以内に無くなると予想してるが
少なくとも子供がパスワード覚えられるか？
アンドロイドみたいなマスタイプの方が良いと思うが

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:40:44.58

作ったやつが一番アホみたいなシステムだな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:41:31.95

>>139
破ったところで実害無いけどな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:42:11.54

なるほどぉ。それなら忘れないですむな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:43:28.14

これでサービス継続してるってこと？
気持ちいいぐらい頭がおかしいなｗ

担当者がアホでした、じゃなくて県ぐるみでアホしかいないのか

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:43:43.70

なんかこの言い訳の空気感、小室圭と魔弧の言い訳みたいだな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:45:55.62

>>26
患者IDが6桁だと、100万とおり
生年月日は、365とおり

100万かける365=3億650とおりだろ、
安全だよ。
問題ナイサー

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:46:14.09

パスワードじゃなく
どこぞのあなたのお子さんの年齢は○○でしたっけ、
って確認してるだけだな
紛らわしい

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:46:16.63

百万人分の生年月日付メルアドが無価値ねえ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:46:18.34

こんな非常識な設計を出す発注側と
それを唯々諾々と構築する受注側

地獄かよこの国は

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:46:27.91

子育て支援事業でアカウント・ログインまでのシステムができてたのは宮城と宮崎でみつけた
でもメルアド確認後にパスワードはシステムからの自動配布
初めから生年月日をパスワードにしたザルなのは神奈川だけのようだなｗ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:47:56.49

アドレス、パスワード、誕生日の３つで認証すりゃいいのに
2つでないとダメな理由があるの？

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:48:00.37

明らかにハッカーになった方が稼げるわ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:48:16.67

>>229
おまえもいっぺんサイト運営してログ眺めてみろ
どっから持ってきたんだ的なメールアドレス総当たりで破りに来るぞ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:48:19.50

俺みたいに生年月日無い人間はどしたらええん。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:49:09.34

問題だって騒いでるやつが多すぎ
誰も具体的に問題点を指摘できてないじゃないか
こんなのばっかりだから要求仕様もロクに書けないんだろうな

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:50:30.71

渡る世間は穴ばかり

ハッカーになるわ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:50:50.65

パスワードの意味よ
誕生日とか一番安易なのになに考えてるんだ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:52:29.58

>>247
問題は本来はパスワード認証なんて必要ないシステムなのにパスワードを設けた事だな。
そのおかげでセキュリティ警察に騒がれてしまった。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:52:55.97

>>245
それは破った先に得られるものがあるから意味があるんだろ
さっき言ってたようなレベルじゃIDとパスワード適当に打ったら他人のマイページに入れてしまった、レベルのリスクとほとんど変わらない。

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:54:29.06

普通にハッカーになった方が儲かる

ワロタ

NゴムとかIIJでも低学歴のバカだろw

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:54:44.38

えっと、特定年齢対象のサービスなのに生年月日をデータとして保持していない？？？
設計したバカ出てこいwwwww

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:55:18.40

仕様決めたバカ誰だ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:55:25.90

指定したらパスワードの意味ないだろｗ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:57:11.47

発注者はやりたいことだけはちゃんと言葉にして要求事項として整理するだろうけど

セキュリティのことまではベンダーにお任せだろうなあ

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:57:20.30

登録したあとで子供産むだろ普通に

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:58:29.10

これも馬鹿だけど最近やっとPPAPメール送ってくる馬鹿も減ってきた気がする
でも急にやめるんじゃなくて反省文を取引先に送ってほしい

**ニューノーマルの名無しさん** · 2021/11/26(金) 00:59:29.93

>>246
生まれて来てから登録してください

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:00:38.42

>>256
セキュリティの話以前だよ
生年月日必要なのにデータとして持ってないからパスワードに設定してもらって流用しようと言うどうしようもない腐った仕様

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:00:46.07

デジタル大国ニッポン！！

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:01:02.59

仕様決めたのはバカ役人だろうけど・・いやしかしw

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:01:24.90

>>251
意味がないか決めるのはオマエじゃなくて攻撃者と被害者だろ

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:01:48.53

>>260
パスワード＝セキュリティなんだが

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:01:55.82

別にここに何もなくても足がかりにするだけ

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:01:58.44

え？パスワードを平文で保存してるのかよこっわ

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:02:03.12

一石二鳥俺天才！みたいな声だけデカい老害の存在が透けて見えるｗ

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:02:28.34

>>210
パスといったらpathの方だよな

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:05:22.35

ザルワードwww

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:06:05.16

合理的配慮も行き過ぎると怒られる

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:16:35.14

これ、不正アクセスし放題ってことか
いや、公知の情報を使ってアクセスできるならそれは不正アクセスですらないのか

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:17:11.97

それパスワードやない
パースデイや

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:18:45.53

そもそもなんの役にもたたないゴミパスポート

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:19:28.10

>>263
いやいやリスク評価として許容範囲だろ
この程度のサイトにマイナンバーカード認証でも導入した方がいいっていうのか？

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:19:36.36

神奈川県はセキュリティアドバイザーとして、セキュリティ大学院大学と提携してたと思ったんだがー

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:19:40.45

>>1
頭悪すぎて草

鍵の役割してないじゃないか
設計した奴バカなのかな

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:21:37.01

>>241
発注側がそうしろと指定してきたら
受注側はどんなにクソ仕様でも実装するわ

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:21:50.07

大昔、旅先で知り合った女の子のウェブメールにふと彼女の生年月日をパスワードに入力したら入れてまったことがある

メールボックスは俺からのメールしかなかったがｗ

ウェブメール黎明期の話

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:22:55.77

今でも管理者がパスワードを見られるシステムあったのね

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:23:35.06

どんだけ中抜きされた結果できた代物なんだか

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:25:44.22

>>277
発注側に言うけど受け入れる客もいるし受けいれない客もいる

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:26:11.65

>>278
フリーのWebメールだったらそれはお前が使い捨ての男ってことじゃね？

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:26:58.88

>>156,247
子ども10万円給付の偽サイト誘導メールを
送れば爆釣れかも。不審だけでメディア狂喜

仕様の正当性や役人の面子を守ろうとして
トドメの2発目を弾込めしているようなもの

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:29:59.44

>>282
時代背景が違うんだよ

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:30:36.21

神奈川県てバカしかいないのね。

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:31:44.09

パスワードって言わずに生年月日登録とすればよかっただけ

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:32:57.03

>>1
個人情報を利用する気満々
サイテーな自治体だな

2021/11/26(金) 01:34:10.71

尿路結石予防の人はなぜやってるんだ？

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:36:51.59

作った奴頭悪すぎる

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:41:51.20

it後進国w

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:51:03.32

>>114
なるほど、やっと意味がわかった
生年月日の入力欄を、パスワード欄にした
って事か

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:51:22.39

>>39
つーかこれ情報管理どうなってんのｗ

**ニューノーマルの名無しさん** · 2021/11/26(金) 01:54:00.10

リリースするまでに
誰も指摘しないのかｗ

俺もそこで働きたい

**ニューノーマルの名無しさん** · 2021/11/26(金) 02:08:51.01

これ、直したところで管理者がパスワード読み取れる仕様はそのままになったりするんじゃね？

**ニューノーマルの名無しさん** · 2021/11/26(金) 02:17:00.22

どこが開発したんだよw
そこにシステム開発二度と発注するな

**ニューノーマルの名無しさん** · 2021/11/26(金) 02:18:00.95

人は易きに流れる

**ニューノーマルの名無しさん** · 2021/11/26(金) 02:19:49.75

その子が大きくなったときに
銀行口座とかのパスを生年月日にしちゃってたらアウトやね

**ニューノーマルの名無しさん** · 2021/11/26(金) 02:45:11.54

生年月日等、第三者が容易に推測出来る数字での登録は絶対におやめください

**ニューノーマルの名無しさん** · 2021/11/26(金) 02:45:26.45

秦野のﾔﾘﾁﾝ平松と新潟出身ﾔﾘﾏﾝ関根奈々子の生息地だけのことはある

**ニューノーマルの名無しさん** · 2021/11/26(金) 02:54:14.49

>>39
ありがち。データベース設計は一番最初にやるから影響がデカすぎて修正できなくなる。予算や納期的に。
ただこの件はパスワードを使わないつもりのシステムについて、後から生年月日をパスワードだと言い張ってるだけな気がする。

**ニューノーマルの名無しさん** · 2021/11/26(金) 03:08:09.35

19800501で400個ぐらいアカウント作ってる

**ニューノーマルの名無しさん** · 2021/11/26(金) 03:13:50.96

ケケ中抜きらしいよコレも

**ニューノーマルの名無しさん** · 2021/11/26(金) 03:32:54.46

パスワードの組み合わせが5千通りも無いのね。

**ニューノーマルの名無しさん** · 2021/11/26(金) 03:35:47.69

>>300
あー
セキュリティ音痴な担当者がパスワードなしで業者に開発指示しちゃったけど
後からポリシー違反になるとかがわかって、でも契約変更して失点になるのが嫌で、
パスワードなんですと強弁した展開かな？

一番の謎は、既にリリースしちゃってること
こういう開発案件って、リリース前に県のセキュリティ部門がチェックしないのかな？
縄張りがあって手を出せないのかもしれないが、
利用者は県民で、県として責任を負う以上、普通はチェックするよね

**ニューノーマルの名無しさん** · 2021/11/26(金) 03:44:26.34

仕様に生年月日入力機能がなかった説と、パスワード機能がなかった説があるけど、
サービス内容的に最初から生年月日がないとは考えにくいし、
パスワード機能なしも考えにくいので、
アカウント失効機能をつけ忘れてた説かなあ

入力される生年月日は、
利用者の子供の生年月日として使われるのではなく(それは別途入力)
失効条件チェックにだけ使われる数字であり、
レコード上の生年月日とは別扱いだったりして

**ニューノーマルの名無しさん** · 2021/11/26(金) 03:45:43.44

仕様がおかしすぎるだろ

**ニューノーマルの名無しさん** · 2021/11/26(金) 03:52:07.54

セブン&アイ・ホールディングスもびっくり

**ニューノーマルの名無しさん** · 2021/11/26(金) 04:03:29.17

神奈川にも平将明がいるのか

**ニューノーマルの名無しさん** · 2021/11/26(金) 04:04:36.10

＞利用登録の際に子供の生年月日をパスワードにするよう指定
＞最年少のお子さんの生年月日を半角数字で入力してください

こんなの身内はもちろん職場とか学生時代の友達とか
ママ友とか下手するとご近所さんとかにもバレバレ情報じゃん
おっそろしい

**ニューノーマルの名無しさん** · 2021/11/26(金) 04:05:04.81

該当する世帯だがこんなサービス初耳
コロナで外出支援なんか意味がない上にこんなザルシステムなら知らなくて正解だったけど

**ニューノーマルの名無しさん** · 2021/11/26(金) 04:18:09.10

ITで加速しる

**ニューノーマルの名無しさん** · 2021/11/26(金) 04:18:55.50

パスワードじゃなくてIDを生年月日含めれば
問題にならないのに
何やってるの神奈川県

**ニューノーマルの名無しさん** · 2021/11/26(金) 04:21:27.42

うちの施設のドアロックも暗証番号が生年月日。
そこまでのセキュリティーじゃないから良いんだけど。
修正することも出来ないし、する気も無い。

**ニューノーマルの名無しさん** · 2021/11/26(金) 04:27:15.35

メアド入手がネックだが、あとは当確年代と３６５日総当たりで２千チョイだな・・(´・ω・`)

**ニューノーマルの名無しさん** · 2021/11/26(金) 04:29:01.18

>>237
「まぎつね」ってなあに？

**ニューノーマルの名無しさん** · 2021/11/26(金) 04:33:36.04

>>268
アスといったらassの方なんですよね、わかりまつ

**ニューノーマルの名無しさん** · 2021/11/26(金) 04:36:02.10

>>288
そりゃ、尿路結石予防のためじゃね？

**ニューノーマルの名無しさん** · 2021/11/26(金) 04:44:24.86

作ってる側の知能が第三世界レベルでヤバい
勉強してないどこかのジャングルの部族の方が頭いいんじゃね？

**巫山戯為奴** ◆TYUDOUPoWE · 2021/11/26(金) 04:48:49.37

まあ？内容を確認する為だろなあ？