公益社団法人 かながわ福祉サービス振興会のサービス「かながわ子育て応援パスポート」が話題に
会員登録の際、パスワードを「子供の生年月日」に設定することを強制される
このパスワード強制はヤバい( ´・‿・`) pic.twitter.com/EcXJS60Ydr
— mono (@_mono) November 24, 2021
公式サイトのFAQにも「パスワードは最年少のお子様の生年月日です」と明記されている
記事によると
Q パスワードを忘れました。再発行はできますか?
A パスワードは最年少のお子様の生年月日です。数字のみで入力してください(例:2019年5月10日の場合「20190510」)。
上記でうまくいかない場合には、次のことをお試しください。
・妊娠中にご登録した場合、出産予定日になっている場合がありますので、出産予定日でお試しください。
・ご登録後に下のお子様が生まれていることはありませんか。その場合は上のお子様の生年月日でお試しください。
以下、全文を読む
2019年にはこのパスワード方式だったとのこと
2019年にはこの画面でした。
— NiSi (@nisi_kerokero) November 24, 2021
なお、パスワードの年齢チェックはしっかり入ってる模様(混乱https://t.co/819w3Uxu0b
実質(子育てというくらいだからここ20年)×(12ヶ月)×(31日)だから7440通り程度しかない……
— £ WIFFY £ (@wiffy_28) November 24, 2021
適当に入力しても割るのも簡単な上に比較的簡単に調べられるモノをパスワードに強制って…
— 自称無敵おじたん (@infinity_ojitan) November 24, 2021
多分、パスワードを突破されても抜き取る情報が何もないんですよ。盗られて困るものが0なら守る必要も無いですからね。
— AI_NPC_RAIN (@AI_NPC_RAIN) November 25, 2021
そうであってくれ…。
パスワードでやっちゃいけないことの典型例が個人情報から導き出せるやつだというのによりにもよってそれを指定していることまでバラすとか悪意あるのかそれとも攻撃者の存在を想定できないほどの善意の塊なのか
— TotallyNotNenko (@NotNenko) November 24, 2021
お前は何を言っているんだ(率直な感想)
— Future_C (@FutureC18) November 25, 2021
2000年~2020年までとして20通り×01月~12月の12通り×01~31までの31通り
=7440通りまで制限される。
脆弱すぎるだろぉパスワードとして…。(通常の8桁パスワードだと0000000~9999999までの1億通り) https://t.co/8Z57ZJdJUg
少し試したところ、FAQに記された通り20090401以降、つまり小学生以下の生年月日しか入力できなかった。
— 吝我尽貪 (@xNNUq) November 24, 2021
勿論実在しない20090431などは弾かれるし、パスワード登録日から1年以上後の日付(今日であれば20221125など)も「出産予定日として有り得ない」と弾かれる。
脆弱性の強制が非常に周到。 https://t.co/Is7zXCF0Yo
この仕事受けるの、プロのプライド捨てないと絶対できんわ https://t.co/2MeXe6EBqQ
— パスポート作成 (@mpyw) November 24, 2021
この記事への反応
・「今日はうちの末っ子の誕生日でした」とSNSに書いてる人のパスワードはバレバレですね
・セキュリティガバガバで草
・パスワード忘れた、って問い合わせが凄いんだろうなぁ……
・リテラシーが存在しないことで有名な神奈川クオリティ
・数字8桁にもかかわらず、任意の数字4桁をはるかに下回る組み合わせ数……
試行回数n×365.25回だからな……
・こんなん誰でも爆速突破やろwww
・セキュリティもクソもないやんけぇ…
・IPAに突き出さなきゃいけないレベル…
・これを作った会社に絶対発注してはいけないよ
・セキュリティのセの字も知らん人がシステム考えたとしか思えない
・ハック方法が明示してあるパスワードって新鮮
これほんとにログインパスワードとして利用されるの?
・典型的な外注元にリテラシーがなく、外注先に発言力がないパターンだな
・ご近所さんに不正ログインされちゃうヤバイやつやんけ
誰も止める人いなかったの!?
これより先はプライベートモードに設定されています。閲覧するには許可ユーザーでログインが必要です。
平日にはちまに居る
社会のゴミクズ共を取り締まる
正義のヒーローだ!😡
俺のパスワード3690
小さい時からちゃんと授業で自分だけのオリジナルパスワード作ってそれを使い続けて数パターン作らせて記憶させてちょっとの変化とかでいけるように教育しないとだめだわ
ゴルゴム「はい。」
困ることないならそもそもパスワード設定なんかいらんだろ
12345とかpasswordが上位に来ない国ってどこ?
日本人のバカさ加減がバレる
日本人はこういうの好き過ぎるから
フジコが一言
↓
これ外国人笑うらしいな
任意に決めさせたら再設定のクレームだけで日が暮れそうだし
ほんとそれな
俺ニートなのに親のカード使いまくってるから
投資の電話めっちゃ来るのまじで草
県警がゴミなんだかほかもゴミってだけさ
一応レベルのパスワードで十分なんだよ
開発した人も何度も要件を確認したに違いない
関わった人の色んな背景が見える
子供いる人だけが子育て応援パスポートを受け取れるようにしたかったけど
あなたには子供がいますか?→はい
だと簡単すぎるから若干複雑にした
ってだけでは?
県によると、パスワードに生年月日を指定しているのは、同サイトのパスワードがアカウント認証の他に、生年月日を確認する役割も持っているからだという。
同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを参照する仕組みにしている。
メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。
そもそも設定したパスワードが他者に見えること自体が異常
サイト管理者にはパスワードは見えるんじゃないの普通
いずれも条件確認の意味合いだし虚偽申請なら詐欺罪、他人の使ったら不正アクセス罪だからある意味合理的
子供の年齢が必要なんだから名前とか入れてるだろうけどw
もっとやりようがいくらでもあるだろうが
悲しいなぁ
そんなの聞いたことないよ
パスワードは設定した本人以外が見える状態になってちゃいけない
もしそんなサイトがあるとしたらパスワードを収集することが目的としか考えられん
パスワードというか、IDの延長位の話なのかも?
ベネッセが欲しがるくらいやろ
もしかしたら本当に簡単なパスワードでもいいのかも知れん
それもうパスワードいらんやんIDだけでええやろ
というかパスワード忘れたときメールアドレスと生年月日で再発行できることも多いし
女なんて全員クソだ、本当にムカつくよ
君たちは彼女なんていない方が良いよ
結婚なんてバカがすること
子供なんていらないよ
何か別の情報と紐づくシンプルな方が窓口対応の負担は減る
この手の問い合わせで一番多いのがパスワードを忘れてログインできない件だし
漏れて困るほどの重要な個人情報を登録してないならこれでいいんじゃね
住んでる地域と子供の人数だけみたいだし
サービスが加盟店の情報とクーポンと景品だし、仮に物凄く珍しい理由で入会できなくて人のメルアドで利用しても相手のメルアドとパスない事には退会しかできねえ
見られてもこれを19580104bf2とは解読されんやろって理屈
これも税金節約のためだ
ココに書いてええんか?
見てきたけれど、他者にログインされたところで困るような内容のサイトでもなかったし