オランダの ISP、デフォルトのパスワードから変更していない法人顧客が 7 割近くいることに気付く 36
ストーリー by reo
これはひどい(ぎくり) 部門より
これはひどい(ぎくり) 部門より
headless 曰く、
オランダの大手 ISP、KPN では同社の ADSL を契約する法人顧客の多くがパスワードをデフォルトのまま変更していないことが判明したとのこと (ComputerWorld の記事、本家 /. 記事より) 。
KPN では法人顧客がポータルサイトで変更手続きなどをできるようにデフォルトのパスワードを割り当てている。しかし、パスワード変更を必須としなかったため、18 万件の契約のうち 12 万件のアカウントでパスワードがデフォルトのままになっていたという。デフォルトのパスワードは「welkom1」「welkom01」「welkom001」といったもので、ユーザー名は郵便番号と住所から生成されるため、第三者が簡単にアカウントページにアクセスできる可能性があったとのこと。
これを受けて KPN では一時的にポータルサイトを閉鎖し、14 万件のアカウントについてパスワードをリセットした。なお、デフォルトのまま変更していなかったアカウントの数よりもパスワードリセット対象のアカウントが多いのは、2 万件がユーザー名と同じパスワードに変更していたためだという。
デフォルトが悪すぎる (スコア:5, すばらしい洞察)
タイトルだけ読んだら
「へぇ、やっぱりみんな変更しないんだなぁ……」
程度の感想でしたが、
本文読んだら、デフォルトのパスワードのひどさに笑った。
welkomはごく普通のオランダ語の単語で、英語でいう「welcome」
そのあたりのひねりもない点がさらにステキだ……
Re:デフォルトが悪すぎる (スコア:1)
「オランダの ISP、デフォルトのパスワードから変更していない法人顧客が 7 割近くいること発表して
自社が安易なデフォルトのパスワードを与えていたことを図らずも自ら暴露」
むしろ (スコア:3)
トピック名で重要なのは「(今さら)気付く」という点なのかな,と思って読みました.
ひどいデフォルトを設定したらそうなるというのは自然なことにも関わらず.
ちなみにうちのISPだと強度のそこそこ高いパスワードを生成して配布していますが,
パスワード変更の方法は提供されていません.
これはこれで問題じゃないだろうか?
下手に変更されるとパスワード忘れて面倒で,
初期パスワードなら契約書類に同梱しているから面倒が少ない,
という方針なんでしょうか?
Re: (スコア:0)
パスワードに必要な機能は「変更できること」じゃなくて「推測されないこと」でしょ。
前者を実装するのは後者を実現する方法の一つでしかなく、初期パスワードで十分推測不能なら、前者の機能は必要ない(もちろんあっても困らないけど、逆に推測容易なパスワードに変えられる危険もある)。
Re:むしろ (スコア:4, 興味深い)
たぶん,それは私が考えている観点とは別の指摘でしょう.
(その考え方にケチつけてるわけじゃないし,正しいとも思います)
簡単に言うと,パスワード管理はユーザーの責任と自由があるべきだ,というのが主張です.
つまり,「推測されるパスワードであっても覚えやすい」のは人によっては利点になるはずで,
「弱いパスワードだけで定期的に変えてる」人がいてもいいじゃないか,と.
ちなみに,定期的な変更はあまり意味がないという主張 [google.co.jp]が多いようですが,
それでも総務省ではそのようにadminに推奨 [soumu.go.jp]しているようです.
Re: (スコア:0)
弱いパスワードでも定期的に変えてれば問題ないとかいうデタラメな結論に誘導しちゃうとか総務省罪深過ぎ。
いや総務省が言ってようが誰が言ってようが主張の中身こそが問題なのに誰かの言っていることを鵜呑みにするバカにつける薬はそもそもないのか。
Re:むしろ (スコア:2)
ランダムな文字列だけど10年変えてない場合とどちらが危険なのかな。
そんな五十歩百歩なジョークはともかく、理想的な顧客ばかりではないという現実も考慮する必要があるよね。
一定期間パスワードの変更がないと警告のメールが届くとか、パスワードの強度を表示するくらいしか対策は考えつかないけど。
実際のパスワードに何を使うかは顧客の自由とは思うけど、ISPや他の顧客に被害が及ぶ可能性もあるし、バランスがむずかしいな。
パスワードの例が書いてあったり (スコア:1)
お客様にてパスワードを設定して頂きます。
パスワードは、英字と数字の組み合わせである必要があります。
例: welkom01
パスワードをリセットした (スコア:0)
リセットってデフォルトに戻したわけじゃないよね。文字通り再(re)設定(set)したってこと?
Re:パスワードをリセットした (スコア:2)
そりゃ当然
UPDATE user SET password="reset";
という DB を……
Re: (スコア:0)
それよりも、なぜ一部アカウントだけリセットしたのだろう。
しかも絞り込み条件が「デフォルトまたはユーザー名と同じ」?
全部のアカウントに対して再設定要求で良いのではないか。
ひょっとしたら、特定のアカウントを選んでリセットしたのではなく、
「パスワードポリシーを新規に適用してみたら、こんなに引っかかっておりました。
該当パスワードは自動的にリセットされております。
数が多すぎたので、公開発表にて個別通知の代わりとさせていただきました。(今ココ!)」
なのではないだろうか。
完全に憶測だけど。
法人? (スコア:0)
個人ではなく「法人」でこのレベルなのか。
信じられん。
それと初期パスワードも安易すぎないか?
でも強制的にリセットしたのは偉いな。
Re:法人? (スコア:1)
パスワードが共有されてたりして、「法人だから」かも。
Re:法人? (スコア:2)
個人じゃなくて法人だからそうなってるんじゃないすかね。
非IT系で管理者も適当に押し付けられてたりしたらそうなってもおかしくなさそう。
不特定多数の人が同じアカウントでloginしたりしてmパスワードがモニター横に貼ってあるとか。
随分昔ですが、とある公的機関の事務所にこんな紙を貼ってある(DB検索用らしい)端末がありました。
「ログインユーザはxx課長のID番号、パスワードは代表電話番号」
Re: (スコア:0)
アカウントのパスワードが奪われたときに発生する被害にもよるかなぁ
・(会社の)住所電話番号がバレる
だけだと強固なパスワード求められるほうがウザい
・勝手にサポートの権利を使われる
あたりだと微妙感が漂う
・悪意あるクラッカーに住所電話番号法人名が書き換えられる
愉快犯は確かに厄介かも
Re: (スコア:0, フレームのもと)
本邦でも、吹っ飛んだら会社が潰れるデータをバックアップすらしていない法人が山ほどあるという事例をつい最近観測したばかりですよ?
Re: (スコア:0)
うちの会社もデフォルトのパスワード使ってた。
しかももっと安易な初期パスワードだった。
そもそも変える必要あるの? (スコア:0)
我が家にインターネットがやってきてから15年、一度もパスワード変えたことないけど、ハッキングとか一度もない
他のサービスで同じパスワード使ってないのと、設定したIDもパスワードもぐちゃぐちゃだしな、
あと営業に来た人が英語数字混ぜたのにしてと言ってたのが幸い
Re:そもそも変える必要あるの? (スコア:2)
ハッキングとか一度もない
気づいてないだけとか。
#人ごとじゃない。
Re:そもそも変える必要あるの? (スコア:1)
今回のが問題なのは変えていないことではなく、
推測されやすいことですね。
Re:そもそも変える必要あるの? (スコア:3, 興味深い)
最初の頃 nifty serve の初期パスワードが英単語二つひっつけたもので、辞書アタックで破りやすかったです。
で、ある日一斉に「パスワード変えて下さい」通知が来てたっけ。
bluebird とかそうんな感じ。
Re: (スコア:0)
複数の単語を(数字を間に挟んだりして)並べるというのは,マシンの能力が非常に低かった頃の忘れにくいパスワードを作る「お作法」ですね
フロッピーがカッチンコッチン動いてた頃は大規模な辞書を持つわけにはいかなかったわけですが,プロセッサのクロックが上がってハードディスク内蔵のマシンも当たり前になるとセキュリティに関する常識もどんどん変化していくわけで,本当に昔話ですな
Re: (スコア:0)
Re: (スコア:0)
それのどこに問題が?
初期パスワードが推測されにくく、強度もあるものであれば問題じゃなかっただろうし
認証システムの仕様上、平文保存は普通にあり得ます。
例えば、CRAM-MD5やAPOPは認証する側に平文がないと認証できません。
Base64でDBに突っ込んであることも考えられますが、
復号可能ということでは平文と何ら変わりません。
あくまで、今回の問題は推測されやすいパスワードが
そのまま使われていたということでしょう。
Re: (スコア:0)
> 設定したIDもパスワードもぐちゃぐちゃ
ならまだしも「welkom01」では。
10年ぐらい前の某代理店での話 (スコア:0)
EDA関係ではそれなりに有名な某社は登録顧客向けに独自のドキュメントの提供等を行っています。
毎年パスワードが送られてくるのですが、いつもパスワードは代理店の名前でした。
転職してからご無沙汰ですが、今でも同じパスワードなのかなあ?
むしろ、変更されていないことをどのように知ったかが気になる (スコア:0)
「暗号化されていないパスワードが保存されています」ので、目視でみれば一発です。
というオチでないことを望む
Re: (スコア:0)
デフォルトのパスワードでログインできるかどうか試せば一発でしょ。
データは手元にあるんだから全部のユーザを試すのに時間も掛からない。
なんで目視なんて面倒なことを?
Re: (スコア:0)
ユーザーがパスワード変更しても、
管理者画面では全て把握できるようになってるんじゃねえの?という懸念でしょう。
Re: (スコア:0)
CHAPとかしらない?
Re: (スコア:0)
CHAPではパスワードを暗号化できないということを知らないんじゃないの?
通信路上を平文で流すかISPに平文で保存させるかの究極の選択。
Re: (スコア:0)
パスワードがISPの知っている数パターンしかないんだから不可逆ハッシュ掛けてようがストレッチングしてようが一発で破られるだろ。
Re: (スコア:0)
もちろん、ブルートフォースアタックしたんですよ;-)
Re: (スコア:0)
select ID from user where createdate = updatedate;
20数年前の某パソ通は (スコア:0)
デフォルトパスワードが8種類しかなかった。
一方日本では (スコア:0)
やっぱり変えてませんでした~
パスワード変えた議員は半数以下 衆院サイバー攻撃 [asahi.com]