(cache) JAL公式サイトの2段階認証がZAL : 市況かぶ全力２階建

こｗｗｗれｗｗｗはｗｗｗ斜ｗｗｗめｗｗｗ上ｗｗｗだｗｗｗ　JAL - JALホームページにおける2段階認証の実施について http://t.co/cIYCgougGL
— 田中実（25歳、沼袋在住） (@k4403) 2014, 8月 2

JAL「2段階認証取り入れるよ！」 ← わかる JAL「生年月日を入力すれば認証されるよ！」←！？！？！？！？
— バトルプログラマー柴田智也 (@tomoya_shibata) 2014, 8月 2

でかい会社ってアホさで想像の斜め上をいくよなあとJALの件で思った。
— ドーモ、じょーかじゃです (@joker1007) 2014, 8月 2

JALの2段階認証と称した誕生日入力も、カード会社の引き落とし口座下4桁入力も、そんなもん対して効果のない「やってるんですよ」感出すだけの虚しい改修であるなぁ。
— かつたつ (@kthrtty) 2014, 8月 2

しかし「やってるんですよ」感を出さないと対外的にも社内的にもバツが悪いので、仕方ないとはおもいます。今回のはデザイン変更の一種であると。
— かつたつ (@kthrtty) 2014, 8月 2

まあ、俺もその認証の仕組みどう考えても頭おかしいですよって止めたけど、実装せざるを得なかったことあるし、あんなの作らされたエンジニアには同情を禁じ得ない。給料をもらってゴミを作る罪悪感。
— ドーモ、じょーかじゃです (@joker1007) 2014, 8月 2

「にだんかいにんしょう」を導入したJALのページログインしたら案の定フルネームが出てきた。詰んでる。つまり、JALが導入したこの認証もどきは、リバースブルートフォースアタックとFacebook（あるいは名簿屋から買った名簿）で簡単に突破できる。まさにZAL(ザル)認証
— なかがわ (@Neducchi_Nakgwa) 2014, 8月 2

つまり今まで通りリバースブルートフォースアタックで当たりのアカウントを集める(ヒット率は変わらず)→ログイン後のページから実名を取得→ベネッセの名簿とかで実名から誕生日を取得→二段階目の誕生日入力→やりたいホーダイ、ってことのようです。。。
— ﾅょωﾚよ″丶)ょぅすﾚﾅ (@rna) 2014, 8月 2

この画面の時点で、氏名を把握できているわけだが、それだけではなかった。 pic.twitter.com/mTOflUpuc1
— Hiromitsu Takagi (@HiromitsuTakagi) 2014, 8月 2

適当に便を選んで予約の画面に進むと、生年月日を元に計算された年齢が表示される。したがって、生年月日入力といっても、実質、月日のみであり、1/365.25 の確率で突破される。 pic.twitter.com/RFmTCcmyWr
— Hiromitsu Takagi (@HiromitsuTakagi) 2014, 8月 2

JAL曰く「会員情報参照…や…に際し、生年月日による認証が必要」とのことだが、いったい何を守りたいのだろうか。予約の画面に進めば、生年月日の入力なしに、登録済みの家族の情報とかも出てきてしまう。 pic.twitter.com/0Mg91M2jqC
— Hiromitsu Takagi (@HiromitsuTakagi) 2014, 8月 2

俺の嫁29歳、俺の娘4歳って何ですねんｗｗｗｗｗ
— 宮口コー@天龍改二まだかよ (@KoMiyaguchi) 2014, 8月 2

携帯電話番号もメールアドレスも出るし、守られるのは住所くらいなものか。こうなることは、日頃JALサイトを使っていればわかることなのに、社員にもわからないのだろうか。だからあれほど「まともなセキュリティコンサルに相談して、根本からセキュリティを考え直したほうがよい。」と。
— Hiromitsu Takagi (@HiromitsuTakagi) 2014, 8月 2