旅行関連サイトの多くが弱いパスワードを許可しているとの調査結果 32
ストーリー by headless
評価 部門より
評価 部門より
パスワードマネージャーサービスのDashlaneは2日、旅行関連企業55社のWebサイトを対象に、パスワードの安全性を調べた「2018 Travel Website Password Power Ranking」を発表した(Dashlane Blogの記事、
BetaNewsの記事)。
評価は1)パスワード長8文字以上が必須、2)数字とアルファベットを組み合わせたパスワードが必須、3)設定画面でパスワード強度判定機能を提供、4)アカウント作成確認の電子メールを送信、5)2要素認証を提供、の5項目について各1点、5点満点で判定される。55社には航空会社やホテル、旅行代理店、クルーズ会社などが含まれる。
結果としては、5点満点を獲得したのはAirbnbのみ。Hawaiian AirlinesとHilton、Marriott、Royal Caribbean、United Airlinesが4点で続く。合格ラインの4点以上を獲得したのは11%にとどまり、89%が水準以下となっている。項目別では大半の49サイトが確認メールを送信しているのに対し、2要素認証を提供するのは2サイト、パスワード強度判定機能を提供するのは10サイトにとどまる。
一方、23サイトが8文字未満の弱いパスワードを許可しており、22サイトが数字のみまたはアルファベットのみの弱いパスワードを許可している。両方を許可しているサイトは14サイト、どちらか一方を許可しているサイトは31サイトに上る。両方を許可している14サイトのトータルスコアはすべて0~1点であり、0~2点の29サイト中28サイトが少なくとも一方を許可している。トータルスコア3点を獲得した20サイト中17サイトは弱いパスワードの使用をいずれも認めていないが、Booking.comとHertz、Skyscannerは数字のみ/アルファベットのみのパスワードを許可している。
同社がコンシューマー向けおよびビジネス向けWebサイトを対象に昨年実施した「2017 Password Power Rankings」や暗号通貨取引所のWebサイトを対象に今年実施した「Cryptocurrency Exchange Password Power Rankings」と比較して旅行関連サイトでは水準以下のサイトが多いと説明しているが、前者の合格ラインは3点以上、後者の合格ラインは5点以上。また、前者は4番目の評価項目が10回以上パスワードを誤入力した際にロックアウトなどの措置をとるかどうかとなっているが、これらの違いについては説明されていない。
評価は1)パスワード長8文字以上が必須、2)数字とアルファベットを組み合わせたパスワードが必須、3)設定画面でパスワード強度判定機能を提供、4)アカウント作成確認の電子メールを送信、5)2要素認証を提供、の5項目について各1点、5点満点で判定される。55社には航空会社やホテル、旅行代理店、クルーズ会社などが含まれる。
結果としては、5点満点を獲得したのはAirbnbのみ。Hawaiian AirlinesとHilton、Marriott、Royal Caribbean、United Airlinesが4点で続く。合格ラインの4点以上を獲得したのは11%にとどまり、89%が水準以下となっている。項目別では大半の49サイトが確認メールを送信しているのに対し、2要素認証を提供するのは2サイト、パスワード強度判定機能を提供するのは10サイトにとどまる。
一方、23サイトが8文字未満の弱いパスワードを許可しており、22サイトが数字のみまたはアルファベットのみの弱いパスワードを許可している。両方を許可しているサイトは14サイト、どちらか一方を許可しているサイトは31サイトに上る。両方を許可している14サイトのトータルスコアはすべて0~1点であり、0~2点の29サイト中28サイトが少なくとも一方を許可している。トータルスコア3点を獲得した20サイト中17サイトは弱いパスワードの使用をいずれも認めていないが、Booking.comとHertz、Skyscannerは数字のみ/アルファベットのみのパスワードを許可している。
同社がコンシューマー向けおよびビジネス向けWebサイトを対象に昨年実施した「2017 Password Power Rankings」や暗号通貨取引所のWebサイトを対象に今年実施した「Cryptocurrency Exchange Password Power Rankings」と比較して旅行関連サイトでは水準以下のサイトが多いと説明しているが、前者の合格ラインは3点以上、後者の合格ラインは5点以上。また、前者は4番目の評価項目が10回以上パスワードを誤入力した際にロックアウトなどの措置をとるかどうかとなっているが、これらの違いについては説明されていない。
数字必須とかアホ (スコア:3)
>2)数字とアルファベットを組み合わせたパスワードが必須
これホント無意味だからやめてほしい。長いパスワードを許可してくれるだけでいい。
Re: (スコア:0)
「数字とアルファベットを組み合わせたパスワードが必須」と
「数字とアルファベットを組み合わせたパスワードが設定できる」の違いを理解してもらうことは難しい。
Re: (スコア:0)
攻撃に使われる単語の辞書を参照して強度判定してくれるライブラリを協会とかがつくるってのでも
啓蒙になるとおもうんだよなあ
今もあるのだろうか (スコア:1)
・パスワード何文字以上(ただし、何文字(必要文字の2倍程度)以下は不許可)
・英(大文字・小文字)、数、記号を必ず1文字使用する(ただし、特定の記号は不許可)
今だと、辞書の単語を組み合わせて、長くて覚えやすいパスワードを推奨しているけど、
記号を必ず使用するに引っかかったり、文字数制限に引っかかったりしないのか
(そして、端末が違うという理由で、秘密の質問&回答の入力を求められたり)
Re:今もあるのだろうか (スコア:1)
パスワード 必須
※半角英数字7~10桁
※パスワードは、ご本人さまを確認する大切な情報です。ユーザIDと同一のパスワードはご利用できません。
パスワードを設定の際は、英数の組み合わせで入力してください。(記号は入力しないでください)
https://www.kousokubus.net/BusRsv/ja/account [kousokubus.net]
やっぱ旅行関連サイトってクソだわ。しかも、高速バスネット [wikipedia.org]はJRのバス会社が直接運営してるところだからね。危機感もないんだろう。
Re: (スコア:0)
最初はOKだった同じ文字の繰り返しを禁じる仕様に変わっちゃって、昔登録したパスワードがNGになったままログインできなくなったことがあったなぁ
もうええわってなってそのまま利用しなくなった
Re: (スコア:0)
平文でログ残してるサイトも有るくらいだしお漏らしもよくあるしで。
パスワード認証は文字数とか文字種とかどうこう言っても全て五十歩百歩だよね。
パスワード弱いってとこだけじゃなく (スコア:1)
城崎の旅館をネット予約しようとし会員登録したら「会員ID(E-mailアドレス)」と「パスワード」を、平文でおくってきました。
サーバー側のパスワードもハッシュ化してないんじゃないかしら。
メールアドレスが正しいかどうかのチェックメールもおくってきませんでした。
気持ち悪くなったので、パスワード変更しようとしたけど、Webからはなんかできなさそう。また会員登録削除もありません。
いったん入れた情報がいつまで生きてるのか分からないのも、気持ち悪いところです。
まあ、旅館にくっついてるWeb屋のレベルが低いんだろうけど....。
ANAマイレージクラブ (スコア:1)
21世紀になってからもかなり長いこと「webサイトのログインパスワードは数字4桁しかダメ」というすごいものだった。
(今は英数字16桁)
Re: (スコア:0)
サービス内容から見ても4桁数字が妥当だろ。
旅行関連サイトに限定されている理由は? (スコア:0)
タレコミ読んでもたまたま調査対象が旅行関連サイトだったとしか読み取れないんだけど。他の業界がどうなのか調査しないと本当に旅行関連サイトだけがことさらに多いのかとか比べようがない。
Re: (スコア:0)
旅行サイトはその時期だけ使って、時期が過ぎたら忘れられる傾向が強いからじゃね。
せいぜい予約くらいにしか使わず、何百万って金を貯めたり引き出したりすることがない。
なので強力なパスワード設定をするメリットが少ない。
しかも身軽に旅行する人だと、ホステルにかならず常備されてる、無料もしくは安価な
ネット端末やタブレットなどから利用することも想定しているし、スマホやタブレットから
使ってる人でもそれの故障や盗難に備える必用があるから、万が一の事態に備えて
簡単に暗記できるくらいの弱いパスワードを使うユーザーも多いのだろう。
#自分も旅行中に、グレハンのバスデポで「予約E-mail確認するからこのPCにパスワード入れろ」って
#言われて、泣きそうになりながら面倒なパスワード入れたことがあったなあ……。
弱いパスワードも問題だが (スコア:0)
同じIDに対して一定回パスワード認証の実行があったら、登録されたアドレスにメール送って、それで再認証するまで一切に試行は認めないようにしてくれないか?
bot使っているにしろ、弱いったって辞書アタックで数百回レベルの認証を実行される訳だから、好き勝手やらせている方が悪いし。何十回も認証してくるIPは数時間とか数日とか認証不可にした方がいいよ。
Re:弱いパスワードも問題だが (スコア:2, 興味深い)
> 同じIDに対して一定回パスワード認証の実行があったら、登録されたアドレスにメール送って、それで再認証するまで一切に試行は認めないようにしてくれないか?
例えば、appl○IDとか、毎日のように不正ログイン通知がbotから飛んできます、紐付けのないメアドに。
正しい通知も、ゴミに埋もれると見落とすこともあるので、痛し痒しで
Re: (スコア:0)
確かにその手のスパムは多いですが、基本的にログイン時にしか受け取らない物だから誤解は生じにくいですし、無関係なタイミングで送られて来た物はスパムか第三者のアタックなので最悪無視でも大きな影響はありません。
改良は必要だと思いますが、大筋では悪く無いアイディアでは無いかと。
弱いパスワードと言えば (スコア:0, すばらしい洞察)
銀行の暗証番号が数字4桁は何故変えないんだろうか。
そして、何故誰も”強度が弱い”と突っ込まないんだろうか。
Re:弱いパスワードと言えば (スコア:3)
キャッシュカードの所持も、セキュリティの一部だから。
Re:弱いパスワードでもいいじゃん (スコア:3, 興味深い)
全てのサイトがそうかは解りませんが、
他のコメントで上がっている高速バスネットの登録内容 [kousokubus.net]に、
・氏名
・電話番号
・クレジット番号
があるため、安全性を求める必要はあると思います。
# 話は全く変わりますが、(1)や(2)が満たせてなくとも、
# "数回パスワード入力に失敗した場合はアカウントロックや人間確認(reCAPTCHAとか)する"
# を課せば、総当たりや辞書攻撃をかなり緩和できると思うのですが、
# 安全性の判断には考慮に含める価値はないのでしょうか...
Re:弱いパスワードでもいいじゃん (スコア:1)
むしろ、バス乗るのに何で電話番号やメールアドレスが必須なんだよってところがツッコミどころじゃないかな。要らない情報を集めようとするところは大抵ヤバイ。緑の窓口なら金払って終わりなのに。
Re: (スコア:0)
高速バスなので、一部を除き無人駅です。
メールアドレスはメールで乗車チケットが届くので。
電話番号はバス停に居ない時の連絡用ですね。
Re: (スコア:0)
バスの運転手や車掌が電話かけてくることなんてないだろ。
Re:弱いパスワードでもいいじゃん (スコア:1)
事故った時とかに、それらの情報を手がかりに乗客の安否確認や家族への連絡をするんじゃないすかね。
Re: (スコア:0)
いや、普通の乗客は電話番号なんて伝えずに現金払いで乗ってるわけですし、少なくとも「必須」にする必要はないでしょう。そういうサービスをオプションで提供したいのなら、情報管理の精度と天秤にかけてありがたがる人もいるかもしれませんけれど。
Re:弱いパスワードでもいいじゃん (スコア:1)
東京〜大阪とかの夜行バスだと、事前にユーザ登録してチケット予約してから乗ったことしかなかった。
2・3時間程度乗車する高速バスなら確かカウンターで現金でチケット買えたっけ。
Re: (スコア:0)
交代要員はいても、基本ワンマンなので乗客管理も運転手のお仕事。
運転手が乗客リストを持っていて、来ない場合掛けてましたよ。
おかげで10分出発が遅延。高速と休憩時間で調整して定着でしたけど。
そもそも深夜じゃ電話窓口は営業時間外でつながらないし。
Re: (スコア:0)
俺もそれがずっと疑問なんだよね。
失敗の回数制限を付けない理由ってサポートコストなのかな?
Re: (スコア:0)
アカウントロックはまずいんじゃないかな?IDは秘匿情報じゃないから。
Re: (スコア:0)
DoS攻撃に弱い
昔は本人間違えても使えなくなってた。
確かCD/ATMに飲まれるんじゃなかったかな
♯本人確認が必要なんですぐには戻せない
操作者の画像記憶とってとかなると保存・消去がうるさいことになる
Re: (スコア:0)
> ・氏名
> ・電話番号
> ・クレジット番号
> があるため、安全性を求める必要はあると思います。
それ、ガッチガッチのパスワードが必要? っていう疑問です。
個人情報保護の御旗を立てれば答えはYesのように思えるけど、クレジットカード番号が後から見に行けるわけではないし(違うなら指摘してね)。
確認メールが飛ぶなら不正使用されても直ぐに対処できるし。
氏名や電話番号が漏れたところでそんなに問題あるの?実際? 特定範囲とはいえばらまいている情報なのに。
そして、今まで漏れた事件は個人のパスワードの脆弱性ってあまり聞かない。管理者側のアカウント管理ミスで大量に漏れた方はよく聞くけどね。
それよりも高速バスネットについては前のコメントにも書いたけどIDの問題の方が大きいように見える。メールアドレスが使えるところとかが。
Re: (スコア:0)
パスワードが漏れるとマズいのは他のサービスでも使い回している可能性が高いことだと思う。
強度に問題があるパスワードを使っているような人ならなおさら。
Re: (スコア:0)
それってパスワードの複雑さと関係ある?
パスワードが漏れてしまえば複雑さとは関係ないし、強固なセキュリティが必要な場所にはそれなりのパスワードや追加の認証手段をつけるのだし。
セキュリティレベルが違うのに同じ強度のパスワードを要求したらそれこそ同じパスワード使われる結果になるよ。