-
echoaddict
- 19407
- 26
- 22
- 40
-
- いいね!40
Hiromitsu Takagi
@HiromitsuTakagi
NHK「日本航空は何者かがこうした情報を不正に入手し、本人になりすましてギフト券に交換したとみて」http://t.co/qyyUP7nlJs 日経新聞「ログインには盗み取られたID・パスワードが使われたとみられ」
2014-02-04 01:25:19
Hiromitsu Takagi
@HiromitsuTakagi
JALは「影響拡大を未然に防ぐため、全会員を対象としたパスワード変更をお願いする」http://t.co/Uf1gWZ1FAY と言うが、この場合に暗証番号を変更して何の意味があるのか?明日専用ダイヤルに尋ねたらいい。 Q1 なぜパスワードを変更するのですか? Q2 …
2014-02-04 01:32:20
Hiromitsu Takagi
@HiromitsuTakagi
…Q1 なぜパスワードを変更するのですか? Q2 暗証番号を変更すると被害を防げるのですか? Q3 どうして防げるのですか? Q4 なら暗証番号を変更しても無意味ではありませんか?
2014-02-04 01:34:15
Hiromitsu Takagi
@HiromitsuTakagi
換金手段を止めれば、犯人の動機は削がれるかもしれないが、登録情報の漏洩は止まらない。大量アクセスを遮断しても、ゆっくりと月に数件程度の被害は発見することもできないだろう。 利用者の人達は専用ダイヤルに尋ねてみたらいい。 Q 私のアカウントが不正アクセスされていないか確認したい。
2014-02-04 01:37:31
Hiromitsu Takagi
@HiromitsuTakagi
4桁数字暗証の問題点はもう一つある。キャッシュカードやクレジットカードの暗証番号と同一にしている人が多いと考えられるところ、Webサイトへのログイン試行によって、(キャッシュカード等と共通の可能性のある)暗証番号を特定できてしまうという被害(暗証番号の流出)も出る。このことは…
2014-02-04 01:55:46
Hiromitsu Takagi
@HiromitsuTakagi
…このことは10年以上前からさんざん繰り返し警告してきた。12年前の2002年当時は、銀行の残高照会サービスが、キャッシュカードの暗証番号でのログインをWebで提供しており、大変危険な状態にあったのだが、皆で警告して止めさせることができた。(やめなかったのは、ANA。)
2014-02-04 02:01:33
Hiromitsu Takagi
@HiromitsuTakagi
当時の報道。http://t.co/p2ES6jyNi5 「…4桁の暗証番号だけでオンライン専用のパスワードを発行する仕組みになっている。…暗証番号を固定し、口座番号を入力していけば口座番号、暗証番号共に合致してログインできてしまうことも考えられる。」(2002年3月18日)
2014-02-04 02:09:07
Hiromitsu Takagi
@HiromitsuTakagi
リバースブルートフォース攻撃であったことが確認されたとき用の新聞向けコメントを置いておきます。 (暗証番号の変更を呼びかけているとの対応に対し)「暗証番号を何回変更したところで防ぐ効果は皆無。今後も繰り返し被害が発生するだろう。」
2014-02-04 02:29:52
Hiromitsu Takagi
@HiromitsuTakagi
最後にもう一度。 「漏洩パスワードリスト型攻撃に最も強いのはズバリ航空業界。なぜならパスワードがユニークすぎて他サイトと共通になりようがないから。」
2014-02-04 02:33:17
Hiromitsu Takagi
@HiromitsuTakagi
2002年に問題提起すべくキャプチャした画面。その1 http://t.co/Wk08MRY8A6
2014-02-04 02:43:48
拡大
Hiromitsu Takagi
@HiromitsuTakagi
2002年に問題提起すべくキャプチャした画面。その2 http://t.co/dOgtwF1D2h
2014-02-04 02:44:37
拡大
