生年月日をパスワードにするよう指定 子育て支援サイトが話題 パスに認証以外の役割があった【神奈川】 [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
※ITmedia NEWS
生年月日をパスワードにするよう指定 子育て支援サイトが話題 パスに認証以外の役割があった
https://www.itmedia.co.jp/news/articles/2111/25/news174.html
2021年11月25日 19時15分 公開
[谷井将人,ITmedia]
神奈川県の子育て支援サイト「かながわ子育て応援パスポート」が、利用登録の際に子供の生年月日をパスワードにするよう指定していることがTwitterで話題になっている。指摘を受け、県は仕様を修正する予定。
かながわ子育て応援パスポートは、小学校6年生以下の子供を持つ子育て世代向けに、特典やサービス、支援施設などの情報を発信しているWebサイト。利用登録時にパスワードの設定画面で「最年少のお子さんの生年月日を半角数字で入力してください」と求めている。生年月日の書式になっていない場合は登録できず、設定後の変更はできない。
パスワードに認証以外の役割
県によると、パスワードに生年月日を指定しているのは、同サイトのパスワードがアカウント認証の他に、生年月日を確認する役割も持っているからだという。同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを参照する仕組みにしている。メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。
今回の指摘を受け、県は「本来なら生年月日とは別にパスワードを設定して認証するべきであり、今後はそのように改修する」としている。すでに登録しているユーザーには改修でき次第パスワードの変更を求める。 読んだが個人情報取り扱ってないならいいんじゃない?
誰でも嘘生年月日で登録できるからそもそも会員制である意味もないけど 詐欺業者かと思ったら公的機関?
そして、担当者にパスワード駄々漏れなのか?
恐いな @メルアドとパスワードだけでシステムの外部設計をする
Aプログラマが「12歳の年の3/31を経過したかわかる情報がありません!」と気づく
Bえらい人が「改修の予算がない!パスワードに生年月日を入れさせろ!」と決定する
C今にいたる
ただの推測だけどこんな感じじゃないのw アカウントとパスワードじゃなくて
アカウントと生年月日と素直に言えばいいのに 【尿路結石予防の四ヶ条】
@十分な水分を摂る
食事以外に1日2L以上の水分補給をすることで大幅にリスクを減少できます。
(コーヒー、紅茶等シュウ酸を多く含む飲料及びアルコール類や清涼飲料水は飲み過ぎに注意!)
A動物性脂肪・塩分・糖分の過剰摂取はNO
腸内のシュウ酸濃度や尿中のカルシウム濃度を上げてしまう原因になります。
また、過食そのものによる肥満も結石のリスクを上げるので注意。
B寝る前に食事をしない
食後2-4時間で尿中結石形成促進物質の濃度がピークになるため、可能なら就寝4時間前までに夕食を済ませるのが理想です。
C軽い有酸素運動の習慣を
階段の昇降運動やジョギングなど、体が上下に動くような軽めの運動は結石が砕けて自然排石されやすくなります。
適度な運動は結石が小さく症状が出てくる前に排石される効果が期待されるのでおすすめです。 パスワードに認証以外の意味を持たせてどうするw
本末転倒 >>33
多分当人はめっちゃいいこと思いついたと思ってるよ >>39
すでに@だけで、時代遅れのあんぽんたん発想 >>1
わざとかな、この仕様
仕様変更での改造費は有償だろうなぁ
開発「言われたとおりに作っただけですので・・・」
県「え?パスワードに生年月日とかダメとは思わなかった」
追加費用は税金だしな
キックバックで県もウハウハ? 中抜のし過ぎでゴミみたいなシステムしか出来上がらないな というかパスワードをそのまま保存してるの?????
今の時代ありえんだろ。 その辺の大学の情報科の学生に作らせても、こんなシステムは作らないと思うよ >メールアドレスと生年月日以外に扱う個人情報が無いため
マジかよ俺でもいけるじゃん 鯖を詠む、読めず確認を怠る面白仕様でなければ良いね。 メアドをIDにできるんだから
生年月日をパスワードにしてもいけるんじゃね?
実際に生年月日を暗証番号にしてる人もいるし
なんていう安易な発想から生まれたんだろうな 違う人の生年月日を暗証番号にしてるわ。
それと、部屋にたまたまあったミカン箱に書いてあった番号にイニシャルつけてる。 これシステム入札の仕様を決めた公務員がバカだったんだろうな。
いくら何でも底辺ITドカタであってもこんなマヌケ仕様を提案はしない。 子供の生年月日で振り分けるというなら、ログインではなくデータベース上で別プログラムで行うべきだわな
なにもかもログインで認証させ一緒くたにとか、どこからそういう発想になったんだか >>16
400件までは共有してもいいがそれ以上はダメだ!とか? >>7
仕様通りに組んで「後、知らね。ペロ」だろな >>19
30年前どころか紀元前にも劣るぞ
古代エジプトだって簡単に調べられる合言葉なんて使っていない。 >>1
パスワードというものは16桁で数字記号アルファベット大小判別する物だ たいした情報扱ってないできる事も少ないサイトみたいだから、何でもいいわ
個人情報がメールアドレスと生年月日だけみたいだし漏れてもどうでもいいレベルだな
捨てアドレスで登録して生年月日入力するだけ >>68
お客様がバカだと、同レベルのシステムになるセブンペイといっしょやねwww 公務員はみんな馬鹿なんですか?と言われても仕方ない奴だぞこれ 日本の中でほんの極々一部だけ先端的仕事なだけで残りは半世紀前の方法・仕様で仕事してるやろw っていうか、認証する必要があるのだろうかw
全員に公開してもよさそうだけど、興味もない人は見もしないだろうし >>68
普通だと作る奴は仕様的にまずいんじゃねと突っ込み入れるけど発注側まで届く事は無いだろな
どこかでエスカレーションが止められる >>74
ベンダー主体性なさすぎ
プライドないんかな どういうこと?
@フォーム1つにつき○円という見積りで、1円でも安く上げるために謎設計で発注した
A既存のシステムを無料で流用したがフォームが足りなかった
Bプログラムがわからない素人社員が自作した
Cシステムを請け負った企業にプログラマーが居なかった メールアドレス入力するだけでパスワードも不要でいいレベル
登録したメールアドレス宛にお得なお知らせメール飛んでくるML登録する程度のサイトならこれでいい 単に情報提供だけなら認証自体いらんのではなかろうか そもそもさ、サービスが利用出来なくなる時期をゲンミツ似作る必要なくね?
妊娠発覚から登録したと仮定しても、
登録年から14年目の3/31に使えなくするだけで良いじゃん ってことはパスワードを復号可能な形で暗号化してるか、
最悪の場合は平文で保持してるってことになるよな。
バカじゃねーの? 今時、こんな設計でレビュー通せるなんてゆとりある会社だなw。
羨ましい。 役所の窓口で「これサイトからダウンロードできるのは
マクロ使いまくりのエクセルファイルじゃなくてPDFファイルで無いんですか?」って聞いたら
対応した人がしばらくフリーズしおったわ(´・ω・`) 流石IT後進国 やることがアホすぎて笑える
こんなこと考えた奴クビにするぐらいじゃねえとデジタル化なんて夢のまた夢 仮パスワード登録っていうか
パスワードが登録時に必須の仕様なんかな
おでこにパスワード書いて歩いてるもんやで状態かよ
福祉でセキュリティは複雑なのできんって時は完全に別別ってのが固いからなあ
年寄りの担当してた時はどこでもいいから
適当なとこで数百円で買える三文判買って来てね
実印なんか出してくるんじゃない
じっちゃんばっちゃん大事なそれをなくしちゃうと困るだろ
三文判のそれでいいからたいしたことには使わないし
毎月会うんだしってのでいのいちばんに買ってもらってた
でも半年に一回無くしちゃうんだよな
宅配便のはシャチハタ使ってくれっての言っておいても
安くて近くに置いてるからって使ってどっかに置き忘れちゃってたし >>80
普通なら既存の実績ある認証システム流用するしそっちの方が安上がりだし楽なはずなんだが、
むしろこういうトンデモ機能を盛り込む方がクッソ面倒なんだが。 >>89
普通はハッシュ化する。
復号できない形で保持して、ユーザーが何をパスワードにしたのか
システム側もログでも取っ手ない限りわからない形にする。 パスワード使いまわしてる人多いと思うんだけど
こんなサイトで、使いまわしてるパスワードを使うほうが危険 >>8
メルアドは漏れてもいいってこと?
いやメルアドがIDなのかな
他に登録情報はないから登録しているかどうかぐらいはバレてもいいだろテヘ的な? そもそもユーザー登録が必要なのか?
というところから考え直したほうがいいのでは >>98
登録に家族の氏名や電話番号も必要なようだぞ
立派な個人情報だと思うが 全員に同じ内容のメール送るだけのサービスならもっとシンプルにパスワード不要を提案するわ
登録時にメールアドレスと生年月日入力
途中退会希望はメールアドレス入力のみ
メールアドレスあれば再度の入退会自由
生年月日による自動退会処理実装 発想が新しいですね
※誉めていません。貶しています。 >>2
てか行政職員は生年月日を暗証番号にするなと
教育されてるんじゃなかったか >>102
それ
>メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。
と矛盾してない? IT後進国なのだからこれくらいどうということはない パスワードは
7桁の口座番号_4桁の暗証番号
と、してください これは生年月日をパスワードだと言い張っているだけで、実質的にはパスワードではない
ただ、IDとパスワードでログインするという体裁にしておけば不正アクセス禁止法の対象になる
公務員は法律で決められていることは必ず守られると信じているから、
彼らにとってはこれで不正アクセスは起こりえないことになるのだ 恐らく最初の役所の要件定義で氏名とパスワードだけだったけど、後で生年月日が必要となって、項目増やすと費用がかかるから無理矢理こうしたんだろうな。
悪用されるようなサイトでも無さそうだから、これでも良いんじゃね?って気はする? 多分、生年月日を入力させる仕様が漏れていて
いまさら入力項目を増やすなんてできない→そうだ、パスワードを生年月日にすればいいじゃん
ってひらめいたんだと思うよ 早く神奈川で働く全ての公務員の生年月日とメールアドレスをホームページにあげてくれよ
問題ないんでしょ? デジタル庁「これは素晴らしい!日本国の全てのシステムでこれを採用しよう!」 子育て支援サイトなのに、3月31日できっちり追い出すの好き 意味がわからん
この仕様考えたやつ無能な働き者だから首にしたほうがいい まともなら判明して即パスワード変更。
アドレスが判れば子供でも10分で割れる なんか特殊な仕様なのかと思ったけど単にアホなんで草 >>1
致命的な所は、パスワードが可逆のシステムなのかい。おそらく平文なんだろうな >>16
メールを覚えたから生年月日もCCに入れちゃうぞ〜 >>1
昭和氷河期老害加齢臭中年「昔の受験は凄かった!今の受験はレベル低い!昔のニッコマは今の早慶!」ニチャアw
現実↓
1990年代 vs 2010年代 センター試験 伝説のコピペが煽る驚愕の難易度差
http://examist.jp/legendexam/1993-center/
氷河期時代と2010年代のセンター試験の難易度差が一目で分かる画像↓(左が昭和世代専用のヌルゲー入試、右が2010年代の真の受験戦争世代の入試)
https://i.imgur.com/LXIrigS.jpg
氷河期時代のセンター試験がFラン入試だとしたらセンター試験(後半期)や共通テストは東大入試
氷河期時代だけ問題が尋常じゃなく易しい(その割には平均点は昔も難化して以降も大差なし)
受験戦争(笑)
土曜日に学校で一生懸命にお勉強していてもこのレベルにしかならなかったのが氷河期のポンコツ世代w
今のニッコマは氷河期の早慶レベルw
氷河期の無能老害を全員殺そう! >特典やサービス、支援施設などの情報を発信しているWebサイト
>メールアドレスと生年月日以外に扱う個人情報が無い
なんか認証自体要らんのじゃね?って感じのサイトだな
全く認証無しもアレだから、期限チェックも兼ねて生年月日をパスワードにしたって感じかなあ >>89
入力した直後に判定して破棄するならギリギリわからんでもない 欠陥仕様を全国に宣伝させるとか狂気を通り
越して犯罪的だよ。責任を取った方がいい鴨 >>20
別に入れさせるのに画面設計やデータベースの構造を変えなくちゃならなくて
追加代金を出したくなくておかしなことになったんだと予想 >>80
ないよ
作ってる人間が口出ししても「言われた通りにやって」
依頼者の責任にしたがる無責任なコンサルは少なくない
もしあなたが発注者になったらそういうベンダーには頼まないことだね >>114
多分これな
担当者一人で仕様チェックなかったんだろうな こういうのってレベルの高い低いじゃなくて組織の問題なんだよね。
必ず問題点を指摘する人がいるんだけどそれに気付かないバカな上役がこのような事件を引き起こしているんですよ。 新人研修でこの部分の概略コードを書かせる
↓
クレームを上げた者を正解者とする >>89
本来はハッシュした結果を判定に使うべきなんだけど、
現実としてはかなり多くのサイトは客からの問い合わせ用としてそのまま保管してる。 これに懲りたお役所の人のせいでPWがギチギチになったりしてw
8文字以上、英大小文字・数字・記号がそれぞれ1文字以上あり、
有効期限3か月、過去10世代の使いまわし禁止、とか ■ このスレッドは過去ログ倉庫に格納されています