- wvwwvvwvwvvvwvw
- 70856
- 58
- 78
- 218
「二段階」にせずに、ログイン時に生年月日を一緒に入力してもらえばよかったね > JAL それと、ログインアラートメールはすぐに実装できると思うけど
2014-08-02 23:07:48JALの「2段階認証」、高木浩光氏の指摘のように年齢がわかってしまうことに加えて、氏名とマイル残高がトップ画面に表示されるので、マイル残高の多い利用者について重点的に生年月日を調べることもできてしまいますね。詰めが甘くて残念
2014-08-02 23:17:54JAL曰く「会員情報参照…や…に際し、生年月日による認証が必要」とのことだが、いったい何を守りたいのだろうか。予約の画面に進めば、生年月日の入力なしに、登録済みの家族の情報とかも出てきてしまう。 pic.twitter.com/0Mg91M2jqC
2014-08-02 23:25:05携帯電話番号もメールアドレスも出るし、守られるのは住所くらいなものか。 こうなることは、日頃JALサイトを使っていればわかることなのに、社員にもわからないのだろうか。 だからあれほど「まともなセキュリティコンサルに相談して、根本からセキュリティを考え直したほうがよい。 」と。
2014-08-02 23:37:58@HiromitsuTakagi JALが守りたいものは顧客の安全ではなくて、企業としてこれだけセキュリティに配慮しているという虚勢。よっぽどコンプライアンスとか危機管理担当がお間抜けなんでしょう。
2014-08-02 23:42:01@HiromitsuTakagi 年齢は、入力時の計算と、予約便の日付の計算と、どちらなのだろう?後者の場合、国内線が予約可能な2ヶ月後までの間にあるかどうかの判定が可能で、しかも「ある」場合は完全に絞り込める。
2014-08-03 00:03:48@sakichan 小児運賃の計算が搭乗日の年齢でやってるなら予約日時点の年齢で表示されそう。ANAは搭乗日の年齢で計算してるみたい。JALもどっかに書いてないかな…
2014-08-03 00:14:31@HiromitsuTakagi そして、国内ホテル付きの予約のほうにすすむと、半年先まで予約可能で、この画面で、予約便の日付だと確認できた!なお、国際線はパスポート情報と紐付けるからか、生年月日欄が伏せ字で登場し、年齢表示は無かった(予約を完全に入れるとまた違うかもしれない)。
2014-08-03 00:09:48@HiromitsuTakagi つまり、2分の1の確率で誕生日は引き出せるし、引き出せる場合は最大8回の試行で行けちゃうかな?( 2^7 < 365/2 < 2^8)
2014-08-03 00:15:01@HiromitsuTakagi やや厳密に: まず、当日予約試行で現在の年齢が分かる。次にダイナミックパッケージ予約は3日後から半年+2週間の予約が可能で、確認できる確率は2分の1よりやや多い。試行8回で「3日後」の場合は国内便予約試行2回追加で1,2,3日後の中から確定。
2014-08-03 00:40:59@HiromitsuTakagi そしてなんと生年月日確定できる確率は大幅に高いことが判明。「JALたびキットレンタカー予約」。これが現時点で来年 5/31 配車まで可能。予約期間の更新は月単位なのかな?これでも年齢が出る。 jal.co.jp/domtour/sozait…
2014-08-03 01:06:19同じパスワード3回入れて3段階認証とか言い出しそう / “JAL - JALホームページにおける2段階認証の実施について” htn.to/EmspZD
2014-08-02 21:32:09でかい会社、えらい人との会議を1時間×10回とか繰り返すことでJAL流二段階認証のような案がまともなものに見えるようになってくる魔界だからな
2014-08-03 12:50:58「これはまずいのでは…」 「でも、二段階は二段階でしょ?2つの段階があるよね?嘘ではないよね?」 「はい…」 「誕生日を知らない人がログインできなくなれば不正アクセスの確率は下がるよね?」 「ほとんど変わらないかと…」 「上がることはないよね?」 「はい…」 そしてリリースへ
2014-08-03 12:57:55JALの二段階認証、「上っ面のお客様の利便性」しか考えてなくて、アカウント狙う側からの視点が全くないから、結局のところ「お客様の安全」が守られてない結果になってるのでは。
2014-08-02 20:54:20俺の好きな言葉、ワンアウト・セーフ。 一回間違えることはよくあることだし仕方がない。ワンアウトまでは、セーフ。問題はそのときどう謝ってどう考えて、どう対策するか。 一流企業でJALみたいに連続でツーアウト食らったところは、退場して頂きたい。
2014-08-02 22:09:47jal.co.jp/info/jmb/14073… どんだけアホの俺でもこれは一般にいわれる二段階認証でないことはわかるよ。。
2014-08-03 00:54:41JALのにだんかいにんしょう的な何かの何が迷惑って、結果JALがお漏らしすることよりも、JALみたいな影響力のある企業がなんちゃってやらかすことで二段階認証ってこういものだと誤解か広がること。
2014-08-03 10:47:26おい、ホームページでは二段階認証が当たり前らしいな!うちもつけとけ!生年月日でいいらしいぞ!確かもう顧客情報に入ってるから勝手に使えるしな!…は?セキュリティ?あのなJALも生年月... fplus.me/p/8xV1/53683493 pic.twitter.com/BN26ndkZ68
2014-08-03 07:16:41この手の自称2段階認証が、正確に実装されて、自慢気にリリースされる様は、「IT版ドリームハウス」と呼ぶべきだね。 / “JAL公式サイトの2段階認証がZAL : 市況かぶ全力2階建” htn.to/eTgnG2
2014-08-03 11:08:45これは二段階認証と呼べないと思いますよ。 / JAL - JALホームページにおける2段階認証の実施について bit.ly/1pxgYlT
2014-08-03 02:14:38