東横INNの予約サイトのセキュリティが改善 16
ストーリー by headless
改善 部門より
改善 部門より
usagito 曰く、
ビジネスホテルチェーン「東横INN」の予約サイトのセキュリティが改善された(東横INNのお知らせ)。
従来は「名前+生年月日」または「生年月日+パスワード」でログインし、予約および予約の確認・変更・キャンセルを行うことができる仕様だった。2月18日に「メールアドレス+パスワード」の新ログイン方法が導入され、4月17日いっぱいで旧ログイン方法による認証が廃止された。
タレコミ人は昨夏、IPAにウェブアプリケーション脆弱性関連情報として届け出ている。ホテルの予約情報というのは、センシティブかつ具体的被害の危険があるのだから、もうちょっとまじめに構築しておいてほしかった。とりあえず改善されてよかった。
移行手続き期間は5月17日まで。それまでに移行手続きをしない場合、予約の際に新規アカウントの作成が必要になる。なお、移行手続きの際は姓・名・生年月日・電話番号での認証が行われるようだ。
6年前はパスワード "のみ" でログインできたのですよ (スコア:1)
当時の修正方法では不十分だと感じていましたが、やっとパスワードを導入したのですね。
「東横インWeb予約の脆弱性が修正された…が」 http://w0s.jp/diary/66 [w0s.jp]
Re: (スコア:0)
なにそれこわい。
仮に見よう見まねでコピペして作っても、なかなかそういう設計にはならないと思うんだけど、
作った人はなにを考えて/何を参考にして、そういう作りにしたんだろう?
それに責任者は責任を問われなかったのだろうか?
Re: (スコア:0)
タイトルと本文が繋がってなくてわかりにくいが、今回は「名前+生年月日」のみでログインできた脆弱性が修正されたってことでOK?
Re: (スコア:0)
パスワードのみでログインできたのが生年月日と名前でログインできる仕様に変更されたんでしょ。
生年月日と名前でログインできるサイトよりはパスワードだけでログインできるサイトのほうが安全だわな。
Re:6年前はパスワード "のみ" でログインできたのですよ (スコア:2, 参考になる)
おまえは何を言っているんだ?
#3002320 [security.srad.jp]がリンクしているhttp://w0s.jp/diary/66 [w0s.jp]と今回のタレコミを総合すると、
ってことでしょ?
Re: (スコア:0)
> パスワードだけでログインできるサイトのほうが安全だわな
8桁程度のパスワードだと、総当たり程度の幼稚な攻撃で簡単に突破されそう。
10桁を超えてくると、ちょっと覚えておくのが辛くなってくる。
Re: (スコア:0)
攻撃の意図の違いでしょう。悪意のある他人にとっては8ケタのパスワードのみのほうが攻撃しやすいが悪意のある知り合いにとっては生年月日と本名のほうが攻撃しやすい。
出世レースで同僚の足を引っ張りたい同僚とか。
Re: (スコア:0)
これを改善と呼ぶべきかかどうか個人的には微妙。
なぜなら「メールアドレス+パスワード」がよい方法であるとは思わないからだ。
ここならパスワードリスト攻撃について説明する必要はないだろう。
「具体的被害」というのもいまいちピンと来ない。
東横INNの被害のことなら、それは東横INNのポリシーの問題だと思う。
もちろんポリシーをもって作られたかどうかは知らない。
また、一般的に使い勝手とセキュリティはトレードオフの関係にあるので、極端な話、変更によって利用者がいなくなってしまっては意味がない。
まぁ、東横INNの予約サイトがどういう作りでも個人的にはどうでもいい。
単にタレコミ人が「セキュリティが改善」とドヤっているのが気に入らなかっただけなのかもしれない。
Re:6年前はパスワード "のみ" でログインできたのですよ (スコア:1)
> これを改善と呼ぶべきかかどうか個人的には微妙。
現状から比べれば改善したよ、という話であって、
あなたの目指すゴールから近いか遠いか、という会話は誰もしていないと思いますが。
> パスワードリスト攻撃について説明する必要はないだろう。
認証方式の話と、その運用からくるリスクの話を混同していませんか。
パスワードがあるだけまし (スコア:0)
世の中、予約や注文などが完了した時点で「お問い合わせ番号」とかいうものを振り出してブラウザ上に表示し、
それを入力するだけで予約の照会や、取り消しすらも出来てしまうサービスが山ほど・・・
なのでパスワードがあるだけでも大分ましだとは言えます。
それでも、パスワードもたびたび漏れるもの。
しかしtwitterやgoogleやmicrosoftすらも、まだ多要素認証は必須ではないんですよね。
だからIDとパスワードが漏れてしまえば認証できてしまう。
こんなにもザルなサービスばかりなのは、何か重大な理由でもあるんでしょうかね?
Re: (スコア:0)
利便性、またはそこまで面倒なことをしたくないユーザーの方が圧倒的に多いだけ
面倒臭いサービスに人は集まらない
Re: (スコア:0)
パスワード漏らす前提でザル呼ばわりはおかしいだろう。たびたび漏れるってどういう管理してんだって話。
パスワードは漏らさない。不手際で漏れたら変える。
多要素認証はアカウントハックが重大な問題を引き起こすサービスだけでいい。
Re: (スコア:0)
パスワードってキーボードさえあれば入力可能であり、本人が覚えることもできてコストもかからず、
それなりに安全で便利すぎる仕組みなんですよ。
多要素認証としてパスワード以外の認証を入れてしまうと、
ハードウェアトークンや生体認証デバイス、ICカードリーダーのように費用が発生してしまったり、
携帯電話認証のように電話番号を漏洩するリスクを注意しなければならなくなってしまったり、
乱数表認証のようにただのバカ避けにしかならなくなってしまったりして、
手間ばかり増えてしまうんですよ。
Re: (スコア:0)
逆にそこまでして守るほどのもんじゃないだろ
クレジットカードだって裏にセキュリティコード書いてあるし
難しく考えすぎなんだよ
インターネットも改善してくれ (スコア:0)
# 大文字で始まるか小文字で始まるかのinternetでなく
# Singer Song Writerを出してるインターネットね
あそこもまだメールアドレスと電話番号でログイン出来るんだよな・・・
パスワード登録でカブったら? (スコア:0)
東横インの旧システムを使ったことがないので分からないのだが、パスワードだけでログインというのはどういう状況なのだろう。
IDがないとなるとパスワードがIDも兼ねることになるのだと思うのだが、設定したいパスワードが他人とカブった場合は「そのパスワードは他のユーザが使用しています。別のパスワードにしてください」とかメッセージが出るのだろうか…… (だとすると確かにセキュリティも何もあったものではない。)
それともパスワードだけというのは誤解で、予約番号+パスワード、確認メールに書かれているURL+パスワード、クッキー+パスワードなのだろうか。