それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。

セゾンカードはユーザー登録は上書きが可能なのに、絵合わせ導入でヤフーへ誘導

セゾンネットアンサーで、ソフトバンク絵合わせが導入されてた

f:id:takuya_1st:20160223160355p:plain:w200

絵合わせって面倒だし、セキュリティに有意義なの?

ソフトバンク絵合わせって、Botによる総当りを避ける意図がるでしょう。しかし正直言ってBot避けにはらないだろう。

総当りを防ぐなら「ロックアウトタイム」を一定時間を設ければ十分だし、規定回数失敗で完全ロックすれば済む話。

こういう効果が意味不明な<えあわせ>を堂々と「セキュリティです」平然と言える会社組織って、組織そのものセキュリティへの意識がやばい気がする。単純に外注先に丸投げなど、なぜソレを行うのかを理解しないまま、言われたとおりやってる受動的態度が感じられる。

クレカサイトの「上書き乗っ取り可能」の問題。

そもそも、、クレジットカードサイトの、ユーザー登録はおしなべて、「乗っ取り可能」。

f:id:takuya_1st:20160223161232p:plain:w200

ID・パスワードをお忘れの方は再登録の手続きを行ってください。
手続き後すぐにメールにてIDをお知らせいたします。
なお、再登録時のIDお知らせメールは現在Netアンサーにご登録のメールアドレスに送信されます。
ご登録のメールアドレスがご不明あるいは現在ご利用でない場合には、新規ご利用登録からお手続きください。

つまり、IDパスワードを紛失しても再登録で既存の登録を消せます。上書きして登録消せませすね。何度でも。

再登録で既存のデータの上書きが可能です。

クレジットカードを入手すれば、「好きなメアドで乗っ取れる」

f:id:takuya_1st:20160223161026p:plain:w200

この入力内容を見る限り、クレジットカードがあればパスワードを盗む必要なし、総当りも不要。

公開情報で【アカウントを奪取可能】なんですよね。

もともと上書き可能なものに絵合わせを導入するメリット

あるんでしょうか。。。

クレジットカードを「スマホで写真」取られたら一発じゃないですかね。

再登録が可能なのであれば<絵合わせ>で総当りを防ぐより、アカウント・ロックのほうが効果的ですよね。

生年月日は公開情報

再登録に必要な生年月日は公開情報。それも名前と紐付けられてる公開情報。

名前と生年月日は、基本4情報(住所/氏名/生年月日/性別)でペアで管理することが多いので、生年月日は名前から「データの突き合わせ」が非常に容易になってしまう。流出するときは紐付いた状態で流出するだろう。

乗っ取りは個人情報を知る「身近な人物」によって行われるだろう。履歴を欲しいのは身内だろう。

クレジットカード・サイトの乗っ取りをしたいのは、身内。例えば、不倫関係の内縁の妻が先方の家庭情報が欲しいなど。利用履歴を入手したいからでしょう。

セキュリティレベルはたった3桁

非公開であるべき情報は3桁の数字だけです。

ただこの3桁コードも決済時に引き渡されるので、公開されちゃう非公開情報かもしれません。

乗っとりを不正アクセス禁止法しばれるか。

総当りの場合「不正アクセス禁止法」で制御されますが、クレジットカードの情報や生年月日といった「公開情報」+3桁の秘密番号で、簡単にアカウントを再登録出来るシステムが、「不正アクセス禁止法」の意図しないアクセスとして裁けるんだろうか。公開情報以外の必要なのは、たったの3桁です。たった3桁が偶然に一致する可能性を踏まえると、不正アクセスと言い切れるのだろうか。

絵合わせの効力は乏しいのになぜ?

このような現実を踏まえて、「絵合わせ」が効力が乏しいと思われる。なのに「絵合わせ」を推奨する。推奨する意図はきっと別にあるに違いない(と勘ぐってみた

ソフトバンク絵合わせの本当の意図はYahooIDへの誘導

ソフトバンク絵合わせは、YahooIDを登録すれば認証連携で絵合わせが不要になる。

つまり、「ソフトバンク絵合わせ認証」の本当の意図は、ヤフーIDへの誘導と、ログインのヤフーIDへの統合。

あざとさがある。ヤフーIDへの誘導です。

統合は、もちろん表向きの理屈付けも出来る。ログインを一箇所に集中させることでソコに資本投下すればいいので、資本効率と監視効率がよくなってセキュリティは向上するだろう。

しかし、各種IDのヤフーIDへの統合って隠し切れてない。ソフトバンク系列の影響力の拡大ですよね。怖いわ。。。

f:id:takuya_1st:20160223163839p:plain:w200

ソフトバンクとヤフーでアカウント情報のひも付けと、さらに行動履歴の収集、遂には決済情報まで入手することにしたらしい。ソフトバンクの意図は油断ならない。

クレジットカードの使用履歴程度で「絵合わせ」までやる?

クレジットカードの利用履歴を取得するのは本当に面倒な時代になったと思う。

数十円払って郵送して確認してスキャンして捨てるのが一番確実で手早いです。

利用明細は取りに行くのではく、「送ってもらいたい」

利用明細を取得しに行くのではなく、従来のように「送付」してもらいたい。

DropBoxや、Google DriveEvernoteに送付して欲しい。なんならYahooブリーフケース(現:ボックス)でもいい。

なんなら、TwitterDMやFacebokメッセンジャーでもいい。とにかく送ってくれ。

iMessageなら通信は暗号化されており、Apple社もFBIも中身を見れないんだぞ。送ってくれ。

そして、セキュリティ的に不安なら、私の「公開鍵」で暗号化してくれたら良い。

公開鍵暗号は「マイナンバーカード」で身近になるんだ。公開鍵暗号は一般的じゃない敷居が高いと言って逃げずに済む。

セゾン社は、ネットアンサーの維持費が大幅圧縮できるよ。

明細サイトが時代遅れになってほしい。

盗聴されずに安全に「利用明細」を送付する通信方法はある。なのに採用しないのはなぜなんだ。もどかしい。

明細サイトなんて本当は要らないんだ。

明細システム発注する担当者さん、相談に乗るよ。

早く無駄なことを世の中から消そう!!