電話番号の流出はパスワード流出よりもタチが悪いかもしれない 44
ストーリー by hylom
電話番号を認証手段に使うな 部門より
電話番号を認証手段に使うな 部門より
あるAnonymous Coward曰く、
米T-Mobileで顧客情報の流出事件が発生した(ITmedia)。
不正アクセスが原因で、流出した個人情報は約200万件。流出した情報には氏名、郵便番号、電話番号、メールアドレス、ハッシュ化されたパスワードなどが含まれていたという。ハッシュ化アルゴリズムには容易にクラックが可能なMD5が使われていたという話もある。
この事件を受けて、WIRIDに掲載された記事では電話番号が流出したことは、パスワードの流出よりも大きな問題だと批判している。今の電話番号は他人と話すだけでなく、スマートフォンでの二要素認証などに使われているためだ。アイデンティティ管理の専門家は、電話番号の過度の依存について何年も前から警告してきた。電話番号が個人のロックとキーという両方の役割を果たしている現状は、攻撃者が電話番号を盗むいわゆるSIMスワップ攻撃を引き起こす原因ともなっているとしている(WIRID、Slashdot)。
公開しなければ意味がない情報 (スコア:3, すばらしい洞察)
を流出したら困る情報にするのが根本的な問題だよね
Re: (スコア:0)
高速バスの予約をしたんだけど、認証に電話番号が必要なんだけど、
それを窓口で伝えるときに口頭で要求しやがるんだ...
横に立ってたら電話番号ゲットし放題だぜ?
あれは個人情報収集だから (スコア:2)
今の二要素認証って、ただの個人情報収集だから....
どうしても二要素にしたいのならパスワードを2つにすればいいのに、
なんで個人情報を要求するかなぁ。
別トピックで上がっているけど、ひとつで長いパスワードにしておけば
ふつうは問題無いと思う。
Re:あれは個人情報収集だから (スコア:1)
そうか!だから地元警察の免許更新時にパスワードを2つ要求されたのか!
※「パスワード忘れたらどーすんのよ?」
「だから1つは免許番号の下4桁を指定したら楽ですよ~」
Re: (スコア:0)
それじゃパスワードって「1要素」しかないじゃん(パスワード2つとも盗まれたら終わりだしロガーで同時に盗まれうる)
二要素認証は全く違う「要素」でないと意味がない。
Re: (スコア:0)
☓二要素認証
○二段階認証
Re: (スコア:0)
IDでこれは恥ずかしいwwww
Re: (スコア:0)
逆に考えるんだ。
IDで発言できない恥ずかしい奴ばかりになってしまった今のスラドにあって、jizouはACで言ったほうが楽なことでもIDで言う見上げた奴だ。
でも俺はAC。
Re: (スコア:0)
現状の2段階認証は、毎回パスワードが自動的に変わるというメリットがある。
パスワード2つ、だとその2つが漏れたらいつでもご来店できるけど、
TOTPとかだと1回キー盗まれても1分後には入れなくなる。
1回でも入店されたらダメージでかいけど。
どう考えても (スコア:2)
電話番号なんて連絡先として他人に知らせるためのものだし、
流出した電話番号使ってSIMスワップ攻撃仕掛けるより、流出したID(メールアドレス)とパスワード使って他のサイトで試す方が攻撃者にとっては楽だし、ユーザーにとってもその方が脅威でしょ。
電話番号の流出の方がタチが悪いんじゃなくて、二要素認証で電話番号使うのが悪いってならまだわかるが。
Re: (スコア:0)
別に今回のデータだけで目的を達成する必要はない。
もともと目を付けてた別サービスのユーザーの2段階認証の電話番号だけが目的なパターンもあるし、名寄せに使える良質な識別IDに使えるのよね。
ハローページ (スコア:1)
まだ配布してるんだっけ。
#固定電話は認証に使わないんだろうけど。
ネットの電話帳(ポン!)もまだ生きてるか。
Re: (スコア:0)
#固定電話は認証に使わないんだろうけど。
LINEの認証には使えますよ。
Re: (スコア:0)
LINEの認証には使えますよ。
ユーザー自身の認証どころか、自分の電話番号を知ってる人がLINEはじめて、電話帳アップロードしちゃったら……
Re: (スコア:0)
同僚が新規アカウントの認証に会社の電話番号使ってしまった結果、既存アカウントのデータがすべて消えてしまった。
いや、工事屋さんなど仕事でLINE結構使ってましてね。自分だけ使わないという選択はちと無理ってことで。
Re: (スコア:0)
仕事では仕事用の電話使えよ。
Re: (スコア:0)
そちらも、既に別の同僚が使っておりまして(以下略
流石に電話番号まで一人一台とはなかなか
# なんかグローバルIPアドレスみたいだなー
Re:ハローページ (スコア:1)
固定電話の代表番号みたいに、代表アカウント取得して使うとかは無いか。
Re: (スコア:0)
正論(あるべきやり方)が実施できない企業があるのは事実だが、別にそれが正しいわけじゃない。
そこで正論振りかざすな、世間知らず、などと開き直り、相手を卑下する奴のほうがいかがなものか。
そういうのがブラック企業やモンスター客の温床になるし、だからこそ正論が通じなくなるんだよ。
偉そうに物知り顔してないで、とっとと滅びてくれ。そのほうが社会の役に立つ。
Re:ハローページ (スコア:1)
人様に正論たれを強要するのは、己がまともな日本語を使えるようになってから。
立場を弁えない上からの物言いがダメなんだよ。
Re: (スコア:0)
そうやって言い訳ばかりで何にもしないから、同情すらしてもらえないんだよ。
Re: (スコア:0)
世間に流されてるだけだよね。
IP電話で発信者詐称 (スコア:1)
とうとう家にもきました。番号は某署。
相手はこちらの番号を知っていて、警察の電話番号を装い、
電話してきましたが、謎の黒魔術(リダイヤルではなく番号打ち)で詐欺だと確定し、
迷惑電話として通報しました。
#もう発信者番号も信用できない世界になってしまったね。あれじゃ年寄りは騙されるわ。
Re: (スコア:0)
現代では「ダイヤル」というものを認識できない若人が育っており、彼らからしてみれば魔術でしかないダイヤルを回すという行為で相手先に接続する。昔、電話が広まったころの電話機の色から「黒魔術」と呼びならわされている。
そして、ダイヤルを知っているものにすら、あまり知られていない「番号打ち」という技法がある。番号と同じ回数だけフックというボタンを連打するものだが、これはタイミングの非常に難しい技術で、これを自在に操るものは古代黒魔術使いとして尊敬されたという。
Min-Mei
Re: (スコア:0)
それ、出来る電話が限られる手法だからなー
# 片手で内線で1番を呼び出すのに使うぐらいだね。
容易にクラックが可能なMD5 (スコア:0)
弱衝突性が破られているわけではない
Re: (スコア:0)
そうそう。
PS3も買えない俺のような貧乏人には関係のない世界の話 [srad.jp]なんだろう。
# え? PS4??? そんなもんがあるなんて都市伝説を信じないぞ~~~orz
Re: (スコア:0)
なんで弱衝突耐性の話をしているところで強衝突耐性の話をしだすんだ?
typo (スコア:0)
WIRID→WIRED
SIMスワップ攻撃 (スコア:0)
これって日本でも事例あったりする?
Re: (スコア:0)
eSIMの普及が楽しみでなりません
周りへの連絡が面倒ではある (スコア:0)
最近の流行としてはパスワードは無理して定期的に変更しない [security.srad.jp]という話も
増えていますが、電話番号は定期的に変えるべきなのでせうか?
元から携帯は2年縛り終了時に解約して新たに契約するので自動的に2年毎に番号が
変わっているのですが、友達に言わせると「そんなのはお前ぐらい」だそうで。
Re: (スコア:0)
登録等の用が済んだら書き換えとく
012-3456-7890
電話番号を正直に維持してんのは役所とクレジットカードくらい
Re: (スコア:0)
身内への連絡先と登録用の電話番号は分けてる。
後者には無料のIP電話を使い、必要であれば電話番号を再発行している。
電話番号を認証に使うのが悪い (スコア:0)
T/O
T/O
Re: (スコア:0)
無断キャンセルデータベース然り
通信事業者に対して (スコア:0)
契約者本人を証明する手続きを厳格にするなど
SIMスワップ防止対策をさせるのが筋。
電話番号は公開情報 (スコア:0)
電話番号を個人認証に使うのはヤメロ、とにかくヤメロ。
Re: (スコア:0)
某企業だと誕生日を認証に使ってたなぁ。
だから、誕生日を他人に教えないで、と・・・
Re: (スコア:0)
そのうち
名前を他人に教えないで
顔を他人に見せないで
ってなるのかなぁ
Re: (スコア:0)
Re: (スコア:0)
LーソンのWi-Fiがそうでしたね
だから誕生日を人に教えると規約違反になるという・・・