パスワードを忘れた? アカウント作成
6629878 story
セキュリティ

「ユーザー名 = メールアドレス名」はダメ? 57

ストーリー by hylom
小手先 部門より
stat 曰く、

15年ほど利用しているインターネットプロバイダからユーザー名を変えろという連絡が来た。従わなければプロバイダ側で勝手に変えるという。どういう事かというと、以前はそのプロバイダではユーザー名が「hoge」なら、メールアドレスは「hoge@メールサーバー名」だった。ところが、メールアドレスから判明するユーザーIDが不正に利用される事件が多発してるんで、「ユーザー名≠メールアドレス名」にしろという話。

趣旨はよくわかる。世の中のhogeさんには「hoge1234」とか「hogehoge」とかのエントロピーの小さなパスワードを使ってる人がゴマンといるから、ユーザー名が判ればちゃちなパスワード攻撃でもそれなりに成功するんだろう。

でも俺の場合使ってる環境が10カ所くらいあるから、ユーザー名を変えると設定変更がすごい手間なんだけどなあ。ちゃちなパスワードを使う奴のせいで、いらん手間を被るのはかなわんなあ。

で、予言するが、ちゃちなパスワードを使っている hoge さんが新しく変えるユーザー名は「hoge2」か「newhoge」だ。そんでもってパスワードは相変わらず「hoge1234」だ(hogeqwertyかも)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • だとしたら大変ですね。
    どっちかといえばIDの変更できるのが合理的というか、けっこう変更できるサービスありますしねぇ...

    # 最初文章からユーザー名 != メアドアカウント名 && ユーザー名変えろから、ログイン用IDを変えろだと思ったw

    --
    M-FalconSky (暑いか寒い)
    • そこのプロバイダは ログイン用ID=ユーザー名 なので、本来の趣旨はログイン用IDを変えろです。
      ユーザー名を変えるのがイヤならメールアドレスのほうを変えてもいいよという選択肢も用意されてるのですが。
      親コメント
      • ログインIDはそのままでメールアドレスを変更できるが、ログインIDだけ変えてメールアドレスは引き継ぐという選択肢はないということですね?

        親コメント
      • by Anonymous Coward

        そのISPはこんなことを言い出すならログインIDを変更してメールアドレスはそのエイリアスにすればいいのに。
        昨日今日始めたISPじゃあるまいし、その程度のquick hackはできるだろうに。

        企業だと普通にありますよね。
        ログインIDは従業員番号に適当なプリフィックスサフィックスで生成、
        メールアドレスは johnsmith@example.com としているパターン。

      • by Anonymous Coward

        自分のところにも最近似たような通知が来ましたが(同じISPかも?)、
        そこの「ユーザー名」は、オンライン手続き等を利用するときに必要となるものだそうで、
        ISPのホームでログインするときぐらいしか使わない「ユーザー名」でしたよ。

        自分は変えろと通知があった「ユーザー名」とそのパスワードしか変えてないですが、
        メールの設定はそのままでメール受信できてますし、
        接続用のIDも変えてないですが、こうやってネットにつながってます。

  • わたしもそのくらいの利用歴だから自分の使っているところにも波及しないかと多少気になる。たぶんならないで済むんだと思うけど。
    // どういう高度な交渉力を行使したのかごく少数の例外を除いて example.or.jp なISPサービス業者は example.ne.jp になった時にならなかったことを念頭に。

    • by Anonymous Coward on 2012年11月26日 20時41分 (#2279044)

      別にJPNICはne.jpドメインへの移行を強制していませんよ。

      参考:移行の経緯 [nic.ad.jp]
      参考:FAQ [nic.ad.jp]

      JPNICからのお願いに素直に応じて移行したところもあると思いますが、
      or.jpは1団体につき1つしか取得出来ないのでサービスごとに複数ドメインを取得することを念頭にne.jpへ移行したところもあるでしょうし、
      NITFY(niftyserve.or.jp -> nifty.ne.jp)の例なんかはドメイン名を短くする/サービス名を改める良い機会と思ったのかもしれませんね。
      参考:ne.jpへの移行リスト [nic.ad.jp]

      親コメント
      • そうだったのか。「お願い」がまるで魔法の世界みたいなあまりに強い実効性を有していたので事実上の強制力だと受け取ってました。事実誤認の指摘感謝します。てっきりJNIC/JPNICのギアスかと。

        親コメント
      • by Anonymous Coward

        niftyの20年来のユーザだが、未だにメールアドレスを USER-ID@nifty.or.jp (neじゃなくてorね)
        と間違って悲しい思いをする事がある。

  • by parsley (5772) on 2012年11月25日 4時07分 (#2278330) 日記

    プロバイダ側にdomain名前を、@hogehoge.jpから@mail1.hogehoge.jpに変えてもらうという提案はいかがでしょう?
    痛みはともに分かち合うということで。

    # 解決にはなっていないかもしれないが、提案は無料。

    --
    Copyright (c) 2001-2014 Parsley, All rights reserved.
    • でもここのメールアドレスは15年前からずっと使ってるんで、メールアドレスが変わるのは通知に手間がかかりすぎて現実的でないんですよ。

      結局、ユーザー名を今使ってる stat から stat2 に変更することにします。
      親コメント
      • by Anonymous Coward on 2012年11月26日 10時11分 (#2278674)

        予言した悪い例を自ら踏襲する上それをこの場で公開するとかw

        親コメント
        • パスワードは辞書攻撃に耐える堅いのを使ってるから大丈夫です。
          ユーザー名を公開しても、パスワードには他人から推察される文字列を使わなければ全然問題ないと思います。

          でも、世の中「hoge1234」の人多いですよねえ。PCのトラブルシュートを頼まれたりして知る他人のパスワードで、堅いパスワードってあまり見ないです。
          本当は ユーザー名=メールアドレス名 は間違っていない!弱いパスワードを使う奴が悪だ! と強く主張したいんだけど、それは現実から離れた主張の気がします。
          親コメント
          • by Anonymous Coward on 2012年11月26日 22時27分 (#2279127)

            今回の件も、ログインIDやメールアドレスよりまずはパスワードを変えろと通知すべきでは。
            IDにある文字列を使えないという縛りだけでも直接の問題は解決できるような。

            #避けた結果が弱いパスワードでも知ったことではない。変更しないとか無視して再度IDを含ませるってのも。

            親コメント
          • by Anonymous Coward

            パスワードは辞書攻撃に耐える堅いのを使ってるから大丈夫です。

            その大丈夫はあてにならないので改めてください。

            セキュリティに大丈夫はありません。
            大丈夫だと思ったところに落とし穴があるんです。

            • by Anonymous Coward

              というかプロバイダも立場上促しているだけで
              不正利用されても自己責任で文句は絶対言いません、
              とでも伝えれば?

            • by Anonymous Coward

              自分は、サービス側が(文字種と文字数)許す限り、ランダム文字列を50文字で作ってるんですが、それでも大丈夫じゃないですか?
              絶対はないですが、大丈夫だとは思うのですが。

              • by Anonymous Coward

                過信しない方が。
                http://security.srad.jp/story/12/09/22/0831222/ [srad.jp]
                Hotmailのパスワードは先頭16文字だけが認証に使われる

              • by Anonymous Coward

                何兆分の一くらいの確率で、そのランダム50文字が偶然聖書の一節と同じになる可能性が!

              • by Anonymous Coward

                そして忘れないようにポストイットに書いてディスプレイに張ってあるんですな?

              • by Anonymous Coward

                > Hotmailのパスワードは先頭16文字だけが認証に使われる

                マイクロソフトアカウントでもそのままですね。
                # たった今、変えてみた。

                とは言え、英数字と記号が使えるのでランダム性を確保できていれば、それほど気にする事ではないのでは?
                単純に文字の個数の16乗を取ってみれば、総当たり攻撃が無意味なくらいの値になりませんか?

                ローカルのアカウントデータベースが抜かれたら別でしょうけれど、Hotmailアカウントなので、総当たり攻撃の手段はWeb経由しかないはず。
                そうなると、特に価値のあるアカウントであればと

              • by Anonymous Coward

                $とか@とか%とか聖書に出てくるんですか。

            • by Anonymous Coward

              でも何が大丈夫じゃないかは言えないんですね。わかります。

            • by Anonymous Coward

              > その大丈夫はあてにならないので改めてください。

              ひじょーに興味があるので、「辞書攻撃に耐える堅いの」がだめな理由をぜひとも。

              当然だけれど、「辞書攻撃に耐える堅いの」という主張が偽であるケースは論外ね。
              あと、パスワードをさらしているとか、通常ログイン経路以外の穴があるケースも無しね。

              • by digoh (17917) on 2012年11月28日 12時13分 (#2280375) 日記

                「高さ50mの堤防を49.5mに削る行為だからやめろ」くらいの意味かもしれません。
                あるいは、パスワードを保管してる側が「長さ50文字を受け付けるけど判定に使うのは3文字だけ」とかいうふざけたシステムであることを心配しているのかも!

                親コメント
  • by DesKwa (35996) on 2012年11月26日 21時03分 (#2279056)

    アカウント名=メールアドレス名=ブログのURL
    だからブログ開設→スパム来放題というダメダメ仕様だったり。

    URLはさすがに変えたい。

  • by Anonymous Coward on 2012年11月26日 20時10分 (#2279024)

    「あらゆる個人情報をハッキングされたWIRED記者が考えるセキュリティ問題」の事件も、
    キッカケの一つは複数のE-mailアドレスやアカウントの名前が同じからだったはず
    http://apple.srad.jp/story/12/08/07/0947250/ [srad.jp]
    http://wired.jp/2012/08/14/amazon-apple-security-hacked/ [wired.jp]

    「ユーザー名=E-mailアドレス名」というよりは、
    「あっちでもこっちでも全部同じhoge1234を使い続ける」のはあんまり良くないとは思う。
    でもセキュリティの本質ではないし、「メアド≠名前」にしたからと言って解決する問題でも無い。

    ましてE-mailアドレスを今更変更しろというのも酷な話だよね。
    影響範囲が広すぎるもの。

    G-mailみたいに2 段階認証プロセスを入れる方が良いと思うが、
    一般のプロバイダだと追加投資は難しいのかもしれないし、
    ユーザーに強制するのも難しい。

    • by Anonymous Coward

      キッカケの一つは複数のE-mailアドレスやアカウントの名前が同じからだったはず

      その通りです.

      でもそこまでご存じなのに,

      でもセキュリティの本質ではないし

      と続けられるのは違和感がありますよ.
      明らかに原因の一つで,
      ましてソーシャルハッキングが社会問題になりつつあるのに.

      • by Anonymous Coward

        実際に突破口になったこと(仕様ミスなどのセキュリティホールがある)とセキュリティの本質であるかどうかはまた違いますからね。

        この件はパスワードがなくても本人認証を抜けてしまう道があるって事が問題で、利用している複数のサービスのアカウント名だけばれた状態でセキュリティが回避されてしまうのがおかしい。
        実際問題としては用心のためにアカウントを共通にしないという対策は有効だと思いますけど。

        ただ、これは本当の誕生日を登録しない、みたいなノウハウであって、セキュリティを担保するための本質的な行動ではないです。
        どちらかと言えば利用するサービスの不備に備えた不自然な行動です。
        パスワードが他人にばれないようにする、というのはそれを前提にセキュリティが組まれているので本質ですが、誕生日が秘密である、
        なんてのをセキュリティの前提にしてたらそっちの方がおかしいでしょう? パスモの件とかありましたけど。

  • by Anonymous Coward on 2012年11月26日 21時07分 (#2279061)
    私は So-netユーザで、指摘と似たような案内のメールが来ました。
    で、ユーザ名を変更しました。

    これまでは
    メールアドレスに用いる [メールアカウント名]@サブドメイン.so-net.ne.jp の
    [メールアカウント名]=
    "ユーザID"でした。
    なので、ご指摘のとおり ユーザIDが hoge であれば メールアドレスは hoge@サブドメイン.so-net.ne.jp でした。
    しかし、メールアカウント名とユーザIDとを同一にする必要はない(&メールアカウント名も変更可になっている)ので、ユーザIDを変更しても既存のメールアカウント名はそのまま使用できます。

    つまり、ユーザIDを foobar に変えてもメールアドレスは hoge@サブドメイン.so-net.ne.jp のままでOKです。

    メールの案内をよく読むと、旧来のユーザアカウントのデフォルト設定(ユーザID=メールアカウント名)の状態では、ユーザIDが知られると自動的にメールアカウント名が推測可能で、そのリスクを低減させるためにも少なくともユーザIDを変更してくれ、変更しないままだとプロバイダ側で強制変更するよ、という主旨でした。
    なのでユーザIDだけ変更しときました。

    少なくとも、メールアドレスを変更しろの内容は含まれていませんでした。
    メールアドレスの変更が強要されるのは辛いですね。

    同様の案内は他のプロバイダでもアナウンスされているんでしょうかね。
    • by Anonymous Coward

      同じくso-netで、ユーザーIDを変更しました。
      最初は心配だったのですが、影響は全く無かったです。
      メールアドレスがそのまま使えるのは、よく考えてあるなと関心しています。

      • by nemui4 (20313) on 2012年11月26日 21時53分 (#2279096) 日記

        すごく古い話なので記憶があやふやなのですが。
        niftyserveでe-mailが普通に使えるようになって、メールアドレスを"本名@nifty.co.jp"に変えさせられてエライ困ったことがあります。
        リアルな知り合いとメールをやり取りするならいいけど、お互い本名その他よく知らない人や組織といきなり本名でメールをするのは敷居が高かった。
        #別に怪しいことしてたわけでもないけど。

        他にも選択肢があったけど、猶予期間内に手続きできずそうなったのか、選択肢もなくそうさせられたのかすら覚えてない。
        で、結局当時他に契約していた地方のインターネット・プロバイダ側で取得したメールアドレスを普段使ってniftyでのメールはほぼ使わなくなってた。
        その後本名以外に変更できるようになってたけど、もうなんだか使いたくなくてそのまま放置。

        親コメント
        • ずっとニフティを使ってますが、本名ベースのアドレスを強制されたことは無いような気が・・・。
          アドレスを割り当てはじめる際に、本名ベースの場合、他者とかぶることがあるので、必要なら早めに申請した方が良いという通知をもらった記憶はあるのですが。

          /*
           自分では珍しい名前だと思っていたけど、googleで検索すると、数人ヒットするし、Wikipediaにまで(他人の)記事があってびっくり・・。
           本名ベースのニフティ・アドレスは、通販みたいに個人情報とひもづけられる場合のメアドとして使ってます。
           でも、通販で使うと大量の広告メールが来てしまうんだよね。
          */

          親コメント
          • 未だに XXX99999@nifty.com 使ってる。
            正式には XXX の部分は大文字なのだが、 小文字じゃないと入力させてくれない事が時々ある。
            親コメント
            • あるある。
              小文字でも届くんで困ってないけど。

              あとサポートに聞いた話ですけど、XXX99999@nifty.ne.jpとXXX99999@nifty.comは
              同じメールボックスで、どちらのアドレスも使えるそうです。
              どっちがエイリアスかは知りませんが。

              親コメント
          • >アドレスを割り当てはじめる際に、本名ベースの場合、他者とかぶることがあるので、必要なら早めに申請した方が良いという通知をもらった記憶はあるのですが。

            もしかしたら、その通知が来て勘違いして他人とかぶるとダメかと思ってそのまま申請したのかもしれない。
            祖父の土地にはそこそこある苗字だけど全国的に見たら少ないしネットではほぼ自分以外ひっとしないんだから、どうでも良かったはずなんだけど。

            親コメント
  • by Anonymous Coward on 2012年11月26日 22時38分 (#2279131)

    会社のメールアドレスで、例えば「社員番号@会社のドメイン」なんていうのを割り当ててると、結構やばいよね。
    社屋に入ることができれば、社内の文書連絡システムと紙の申請書を使って、個人攻撃が簡単にできてしまう。
    外部に晒すアドレスは、人事関係のコードとは切り離した方が無難。

    • っていうか、毎朝タイムカード代わりに職員番号とパスワード(休暇申請年末調整その他で使うものと同一)をwebで入力させられて
      そのうちちょっと悪いこと考えるやつが出てきたらIDとパス盗み取られて勝手に有休取られたりするんじゃないかと。
      打ってる回数が多ければそれだけ危険性も増すわけで。

      #そんなシステムを外注してるWの恐怖gesaku

      親コメント
    • どこぞの会社の、外部から接続可能なとあるwebサーバでは、会社のメールアドレスの
      useridがそのままログインIDにつかわれてて、それはどうかと思っている次第ですよ…

      ちなみにグループウェアやwebメールでは暗号化一切なし(生httpでやりとり)。
      だれだ、こんなザルな運用許してるやつは…ありえねぇよ…

      # 会社に対していろいろ指摘してきたけど一向に改善されないのでIDで

      親コメント
    • by Anonymous Coward

      なぜか社内システムには(共同申請者とか、そういう文脈で)他人のコードを入力させる(故に他人に教える必要を作る)ものがあるのだよなぁ。
      あれもちょっと怖い。給与振込先とか勝手に変えられちゃうし(パスワードは一応定期的に変更してるけど)。

  • by Anonymous Coward on 2012年11月26日 23時55分 (#2279176)

    stat64もしくはstati64が望ましいのかしら。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...