パスワードを忘れた? アカウント作成
5087608 story
プライバシ

オランダの ISP、デフォルトのパスワードから変更していない法人顧客が 7 割近くいることに気付く 36

ストーリー by reo
これはひどい(ぎくり) 部門より

headless 曰く、

オランダの大手 ISP、KPN では同社の ADSL を契約する法人顧客の多くがパスワードをデフォルトのまま変更していないことが判明したとのこと (ComputerWorld の記事本家 /. 記事より) 。

KPN では法人顧客がポータルサイトで変更手続きなどをできるようにデフォルトのパスワードを割り当てている。しかし、パスワード変更を必須としなかったため、18 万件の契約のうち 12 万件のアカウントでパスワードがデフォルトのままになっていたという。デフォルトのパスワードは「welkom1」「welkom01」「welkom001」といったもので、ユーザー名は郵便番号と住所から生成されるため、第三者が簡単にアカウントページにアクセスできる可能性があったとのこと。

これを受けて KPN では一時的にポータルサイトを閉鎖し、14 万件のアカウントについてパスワードをリセットした。なお、デフォルトのまま変更していなかったアカウントの数よりもパスワードリセット対象のアカウントが多いのは、2 万件がユーザー名と同じパスワードに変更していたためだという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • デフォルトが悪すぎる (スコア:5, すばらしい洞察)

    by hahahash (41409) on 2012年07月09日 12時53分 (#2189694) 日記

    タイトルだけ読んだら
    「へぇ、やっぱりみんな変更しないんだなぁ……」
    程度の感想でしたが、
    本文読んだら、デフォルトのパスワードのひどさに笑った。

    welkomはごく普通のオランダ語の単語で、英語でいう「welcome」
    そのあたりのひねりもない点がさらにステキだ……

    • by Anonymous Coward on 2012年07月09日 19時02分 (#2189930)
      タイトルを変えた方がいいですね。

      「オランダの ISP、デフォルトのパスワードから変更していない法人顧客が 7 割近くいること発表して
      自社が安易なデフォルトのパスワードを与えていたことを図らずも自ら暴露」
      親コメント
  • by imunolion (39292) on 2012年07月09日 14時37分 (#2189789) 日記

    トピック名で重要なのは「(今さら)気付く」という点なのかな,と思って読みました.
    ひどいデフォルトを設定したらそうなるというのは自然なことにも関わらず.

    ちなみにうちのISPだと強度のそこそこ高いパスワードを生成して配布していますが,
    パスワード変更の方法は提供されていません.
    これはこれで問題じゃないだろうか?

    下手に変更されるとパスワード忘れて面倒で,
    初期パスワードなら契約書類に同梱しているから面倒が少ない,
    という方針なんでしょうか?

    • by Anonymous Coward
      それの何が問題?
      パスワードに必要な機能は「変更できること」じゃなくて「推測されないこと」でしょ。
      前者を実装するのは後者を実現する方法の一つでしかなく、初期パスワードで十分推測不能なら、前者の機能は必要ない(もちろんあっても困らないけど、逆に推測容易なパスワードに変えられる危険もある)。
      • Re:むしろ (スコア:4, 興味深い)

        by imunolion (39292) on 2012年07月09日 16時29分 (#2189853) 日記

        たぶん,それは私が考えている観点とは別の指摘でしょう.
        (その考え方にケチつけてるわけじゃないし,正しいとも思います)

        簡単に言うと,パスワード管理はユーザーの責任と自由があるべきだ,というのが主張です.
        つまり,「推測されるパスワードであっても覚えやすい」のは人によっては利点になるはずで,
        「弱いパスワードだけで定期的に変えてる」人がいてもいいじゃないか,と.

        ちなみに,定期的な変更はあまり意味がないという主張 [google.co.jp]が多いようですが,
        それでも総務省ではそのようにadminに推奨 [soumu.go.jp]しているようです.

        親コメント
        • by Anonymous Coward

          弱いパスワードでも定期的に変えてれば問題ないとかいうデタラメな結論に誘導しちゃうとか総務省罪深過ぎ。
          いや総務省が言ってようが誰が言ってようが主張の中身こそが問題なのに誰かの言っていることを鵜呑みにするバカにつける薬はそもそもないのか。

          • by nmaeda (5111) on 2012年07月10日 10時04分 (#2190209)

            ランダムな文字列だけど10年変えてない場合とどちらが危険なのかな。

            そんな五十歩百歩なジョークはともかく、理想的な顧客ばかりではないという現実も考慮する必要があるよね。
            一定期間パスワードの変更がないと警告のメールが届くとか、パスワードの強度を表示するくらいしか対策は考えつかないけど。

            実際のパスワードに何を使うかは顧客の自由とは思うけど、ISPや他の顧客に被害が及ぶ可能性もあるし、バランスがむずかしいな。

            親コメント
  • お客様にてパスワードを設定して頂きます。
    パスワードは、英字と数字の組み合わせである必要があります。
    例: welkom01

  • by Anonymous Coward on 2012年07月09日 12時53分 (#2189693)

    リセットってデフォルトに戻したわけじゃないよね。文字通り再(re)設定(set)したってこと?

    • そりゃ当然
      UPDATE user SET password="reset";
      という DB を……

      親コメント
    • by Anonymous Coward

      それよりも、なぜ一部アカウントだけリセットしたのだろう。
      しかも絞り込み条件が「デフォルトまたはユーザー名と同じ」?
      全部のアカウントに対して再設定要求で良いのではないか。

      ひょっとしたら、特定のアカウントを選んでリセットしたのではなく、
      「パスワードポリシーを新規に適用してみたら、こんなに引っかかっておりました。
      該当パスワードは自動的にリセットされております。
      数が多すぎたので、公開発表にて個別通知の代わりとさせていただきました。(今ココ!)」
      なのではないだろうか。

      完全に憶測だけど。

  • by Anonymous Coward on 2012年07月09日 12時54分 (#2189696)

    個人ではなく「法人」でこのレベルなのか。
    信じられん。
    それと初期パスワードも安易すぎないか?

    でも強制的にリセットしたのは偉いな。

    • by Anonymous Coward on 2012年07月09日 13時25分 (#2189737)

      パスワードが共有されてたりして、「法人だから」かも。

      親コメント
      • by nemui4 (20313) on 2012年07月09日 13時36分 (#2189745) 日記

        個人じゃなくて法人だからそうなってるんじゃないすかね。
        非IT系で管理者も適当に押し付けられてたりしたらそうなってもおかしくなさそう。
        不特定多数の人が同じアカウントでloginしたりしてmパスワードがモニター横に貼ってあるとか。

        随分昔ですが、とある公的機関の事務所にこんな紙を貼ってある(DB検索用らしい)端末がありました。
        「ログインユーザはxx課長のID番号、パスワードは代表電話番号」

        親コメント
        • by Anonymous Coward

          アカウントのパスワードが奪われたときに発生する被害にもよるかなぁ

          ・(会社の)住所電話番号がバレる
          だけだと強固なパスワード求められるほうがウザい

          ・勝手にサポートの権利を使われる
          あたりだと微妙感が漂う

          ・悪意あるクラッカーに住所電話番号法人名が書き換えられる
          愉快犯は確かに厄介かも

    • Re: (スコア:0, フレームのもと)

      by Anonymous Coward

      本邦でも、吹っ飛んだら会社が潰れるデータをバックアップすらしていない法人が山ほどあるという事例をつい最近観測したばかりですよ?

    • by Anonymous Coward

      うちの会社もデフォルトのパスワード使ってた。
      しかももっと安易な初期パスワードだった。

  • by Anonymous Coward on 2012年07月09日 13時12分 (#2189719)

    我が家にインターネットがやってきてから15年、一度もパスワード変えたことないけど、ハッキングとか一度もない
    他のサービスで同じパスワード使ってないのと、設定したIDもパスワードもぐちゃぐちゃだしな、
    あと営業に来た人が英語数字混ぜたのにしてと言ってたのが幸い

    • ハッキングとか一度もない

      気づいてないだけとか。

      #人ごとじゃない。

      親コメント
    • 今回のが問題なのは変えていないことではなく、
      推測されやすいことですね。

      親コメント
      • by nemui4 (20313) on 2012年07月09日 13時38分 (#2189753) 日記

        最初の頃 nifty serve の初期パスワードが英単語二つひっつけたもので、辞書アタックで破りやすかったです。
        で、ある日一斉に「パスワード変えて下さい」通知が来てたっけ。

        bluebird とかそうんな感じ。

        親コメント
        • by Anonymous Coward

          複数の単語を(数字を間に挟んだりして)並べるというのは,マシンの能力が非常に低かった頃の忘れにくいパスワードを作る「お作法」ですね
          フロッピーがカッチンコッチン動いてた頃は大規模な辞書を持つわけにはいかなかったわけですが,プロセッサのクロックが上がってハードディスク内蔵のマシンも当たり前になるとセキュリティに関する常識もどんどん変化していくわけで,本当に昔話ですな

      • by Anonymous Coward
        最大の問題は、初期パスワードを平文でISPが保存していたことでしょう。
        • by Anonymous Coward

          それのどこに問題が?

          初期パスワードが推測されにくく、強度もあるものであれば問題じゃなかっただろうし
          認証システムの仕様上、平文保存は普通にあり得ます。

          例えば、CRAM-MD5やAPOPは認証する側に平文がないと認証できません。
          Base64でDBに突っ込んであることも考えられますが、
          復号可能ということでは平文と何ら変わりません。

          あくまで、今回の問題は推測されやすいパスワードが
          そのまま使われていたということでしょう。

    • by Anonymous Coward

      > 設定したIDもパスワードもぐちゃぐちゃ
      ならまだしも「welkom01」では。

  • by Anonymous Coward on 2012年07月09日 13時15分 (#2189722)

    EDA関係ではそれなりに有名な某社は登録顧客向けに独自のドキュメントの提供等を行っています。
    毎年パスワードが送られてくるのですが、いつもパスワードは代理店の名前でした。

    転職してからご無沙汰ですが、今でも同じパスワードなのかなあ?

  • 「暗号化されていないパスワードが保存されています」ので、目視でみれば一発です。

    というオチでないことを望む

    • by Anonymous Coward

      デフォルトのパスワードでログインできるかどうか試せば一発でしょ。
      データは手元にあるんだから全部のユーザを試すのに時間も掛からない。
      なんで目視なんて面倒なことを?

      • by Anonymous Coward

        ユーザーがパスワード変更しても、
        管理者画面では全て把握できるようになってるんじゃねえの?という懸念でしょう。

    • by Anonymous Coward

      CHAPとかしらない?

      • by Anonymous Coward

        CHAPではパスワードを暗号化できないということを知らないんじゃないの?
        通信路上を平文で流すかISPに平文で保存させるかの究極の選択。

    • by Anonymous Coward

      パスワードがISPの知っている数パターンしかないんだから不可逆ハッシュ掛けてようがストレッチングしてようが一発で破られるだろ。

    • by Anonymous Coward

      もちろん、ブルートフォースアタックしたんですよ;-)

    • by Anonymous Coward

      select ID from user where createdate = updatedate;

  • by Anonymous Coward on 2012年07月10日 4時50分 (#2190104)

    デフォルトパスワードが8種類しかなかった。

  • by Anonymous Coward on 2012年07月10日 13時32分 (#2190416)

    やっぱり変えてませんでした~

    パスワード変えた議員は半数以下 衆院サイバー攻撃 [asahi.com]

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...