生年月日をパスワードにするよう指定 子育て支援サイトが話題 パスに認証以外の役割があった
https://www.itmedia.co.jp/news/articles/2111/25/news174.html
2021年11月25日 19時15分 公開
[谷井将人,ITmedia]
神奈川県の子育て支援サイト「かながわ子育て応援パスポート」が、利用登録の際に子供の生年月日をパスワードにするよう指定していることがTwitterで話題になっている。指摘を受け、県は仕様を修正する予定。
かながわ子育て応援パスポートは、小学校6年生以下の子供を持つ子育て世代向けに、特典やサービス、支援施設などの情報を発信しているWebサイト。利用登録時にパスワードの設定画面で「最年少のお子さんの生年月日を半角数字で入力してください」と求めている。生年月日の書式になっていない場合は登録できず、設定後の変更はできない。
パスワードに認証以外の役割
県によると、パスワードに生年月日を指定しているのは、同サイトのパスワードがアカウント認証の他に、生年月日を確認する役割も持っているからだという。同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを参照する仕組みにしている。メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。
今回の指摘を受け、県は「本来なら生年月日とは別にパスワードを設定して認証するべきであり、今後はそのように改修する」としている。すでに登録しているユーザーには改修でき次第パスワードの変更を求める。
その仕様かっこよすぎるな
ずぼら認証。
こんなバカサイトが、まだあったんだな
サイト構築したベンターはどこだ?大恥だわ
>>7
仕様通りに組んで「後、知らね。ペロ」だろな
>>68
普通だと作る奴は仕様的にまずいんじゃねと突っ込み入れるけど発注側まで届く事は無いだろな
どこかでエスカレーションが止められる
鬼才現わるだなあ
昭和並みのセキュリティガン無視
>メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。
何度読んでも意味がわからないんだが、これが「理由」のつもりなのか?
>>8
それならそもそも認証不要の公開ページにすればいいだけだしな
>>8
メルアドは漏れてもいいってこと?
いやメルアドがIDなのかな
他に登録情報はないから登録しているかどうかぐらいはバレてもいいだろテヘ的な?
>>98
登録に家族の氏名や電話番号も必要なようだぞ
立派な個人情報だと思うが
まぁなんか悪さされた訳でもないならいいんじゃねどうでも
セキュリティの問題と言うより、要件に対してシステムの論理設計した奴の頭が悪い
なんで別で入れさせないのか
逆に新しいわ
>>20
別に入れさせるのに画面設計やデータベースの構造を変えなくちゃならなくて
追加代金を出したくなくておかしなことになったんだと予想
セキュリティー考えたら、基本的にNG数字じゃないか
通ってる病院の予約サイトが診察券に書いてる患者IDと生年月日でログインだわ
>>26
患者IDが6桁だと、100万とおり
生年月日は、365とおり
100万かける365=3億650とおりだろ、
安全だよ。
問題ナイサー
この仕様で設定後は変更できないって、この子育て支援サイトの本音は新たに子供を産むなってことか
あほすぎる
読んだが個人情報取り扱ってないならいいんじゃない?
誰でも嘘生年月日で登録できるからそもそも会員制である意味もないけど
①メルアドとパスワードだけでシステムの外部設計をする
②プログラマが「12歳の年の3/31を経過したかわかる情報がありません!」と気づく
③えらい人が「改修の予算がない!パスワードに生年月日を入れさせろ!」と決定する
④今にいたる
ただの推測だけどこんな感じじゃないのw
>>39
ありがち。データベース設計は一番最初にやるから影響がデカすぎて修正できなくなる。予算や納期的に。
ただこの件はパスワードを使わないつもりのシステムについて、後から生年月日をパスワードだと言い張ってるだけな気がする。
>>300
あー
セキュリティ音痴な担当者がパスワードなしで業者に開発指示しちゃったけど
後からポリシー違反になるとかがわかって、でも契約変更して失点になるのが嫌で、
パスワードなんですと強弁した展開かな?
一番の謎は、既にリリースしちゃってること
こういう開発案件って、リリース前に県のセキュリティ部門がチェックしないのかな?
縄張りがあって手を出せないのかもしれないが、
利用者は県民で、県として責任を負う以上、普通はチェックするよね
アカウントとパスワードじゃなくて
アカウントと生年月日と素直に言えばいいのに
passwordって生年月日なんだ
メアドをIDにできるんだから
生年月日をパスワードにしてもいけるんじゃね?
実際に生年月日を暗証番号にしてる人もいるし
なんていう安易な発想から生まれたんだろうな
子供の生年月日で振り分けるというなら、ログインではなくデータベース上で別プログラムで行うべきだわな
なにもかもログインで認証させ一緒くたにとか、どこからそういう発想になったんだか
メールアドレス入力するだけでパスワードも不要でいいレベル
登録したメールアドレス宛にお得なお知らせメール飛んでくるML登録する程度のサイトならこれでいい
パスワードって暗号化されないの?
>>89
普通はハッシュ化する。
復号できない形で保持して、ユーザーが何をパスワードにしたのか
システム側もログでも取っ手ない限りわからない形にする。
>>89
本来はハッシュした結果を判定に使うべきなんだけど、
現実としてはかなり多くのサイトは客からの問い合わせ用としてそのまま保管してる。
これは生年月日をパスワードだと言い張っているだけで、実質的にはパスワードではない
ただ、IDとパスワードでログインするという体裁にしておけば不正アクセス禁止法の対象になる
公務員は法律で決められていることは必ず守られると信じているから、
彼らにとってはこれで不正アクセスは起こりえないことになるのだ
多分、生年月日を入力させる仕様が漏れていて
いまさら入力項目を増やすなんてできない→そうだ、パスワードを生年月日にすればいいじゃん
ってひらめいたんだと思うよ
>>114
多分これ。
不正アクセスされても実がいないサイトだからこれでも良いと思う。
>>114
なるほど、やっと意味がわかった
生年月日の入力欄を、パスワード欄にした
って事か
>>114
多分これな
担当者一人で仕様チェックなかったんだろうな
>特典やサービス、支援施設などの情報を発信しているWebサイト
>メールアドレスと生年月日以外に扱う個人情報が無い
なんか認証自体要らんのじゃね?って感じのサイトだな
全く認証無しもアレだから、期限チェックも兼ねて生年月日をパスワードにしたって感じかなあ