1:少考さん ★:2021/11/25(木) 23:06:34.65 ID:ZxjRjvgl9


生年月日をパスワードにするよう指定 子育て支援サイトが話題 パスに認証以外の役割があった
https://www.itmedia.co.jp/news/articles/2111/25/news174.html

2021年11月25日 19時15分 公開

[谷井将人,ITmedia]

 神奈川県の子育て支援サイト「かながわ子育て応援パスポート」が、利用登録の際に子供の生年月日をパスワードにするよう指定していることがTwitterで話題になっている。指摘を受け、県は仕様を修正する予定。

かながわ子育て応援パスポートは、小学校6年生以下の子供を持つ子育て世代向けに、特典やサービス、支援施設などの情報を発信しているWebサイト。利用登録時にパスワードの設定画面で「最年少のお子さんの生年月日を半角数字で入力してください」と求めている。生年月日の書式になっていない場合は登録できず、設定後の変更はできない。

パスワードに認証以外の役割

 県によると、パスワードに生年月日を指定しているのは、同サイトのパスワードがアカウント認証の他に、生年月日を確認する役割も持っているからだという。同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを参照する仕組みにしている。メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。

今回の指摘を受け、県は「本来なら生年月日とは別にパスワードを設定して認証するべきであり、今後はそのように改修する」としている。すでに登録しているユーザーには改修でき次第パスワードの変更を求める。

 

3:ニューノーマルの名無しさん:2021/11/25(木) 23:08:03.07 ID:hpFogLIz0


その仕様かっこよすぎるな

 

5:ニューノーマルの名無しさん:2021/11/25(木) 23:08:18.70 ID:4X1CBCH40


ずぼら認証。

 

7:ニューノーマルの名無しさん:2021/11/25(木) 23:09:12.36 ID:HiM2Zim60


こんなバカサイトが、まだあったんだな
サイト構築したベンターはどこだ?大恥だわ

 

68:ニューノーマルの名無しさん:2021/11/25(木) 23:26:39.94 ID:4FhbbH1a0

>>7
仕様通りに組んで「後、知らね。ペロ」だろな

79:ニューノーマルの名無しさん:2021/11/25(木) 23:29:50.13 ID:o31saMJZ0

>>68
普通だと作る奴は仕様的にまずいんじゃねと突っ込み入れるけど発注側まで届く事は無いだろな
どこかでエスカレーションが止められる

9:ニューノーマルの名無しさん:2021/11/25(木) 23:09:27.00 ID:cWKEd0Mh0


鬼才現わるだなあ

 

10:ニューノーマルの名無しさん:2021/11/25(木) 23:10:04.93 ID:VsYOFi2l0


昭和並みのセキュリティガン無視

 

8:ニューノーマルの名無しさん:2021/11/25(木) 23:09:22.07 ID:wHpdR+f40


>メールアドレスと生年月日以外に扱う個人情報が無いためこのような実装になったという。

何度読んでも意味がわからないんだが、これが「理由」のつもりなのか?

 

218:ニューノーマルの名無しさん:2021/11/26(金) 00:33:27.40 ID:y1lbk7Lr0

>>8
それならそもそも認証不要の公開ページにすればいいだけだしな

98:ニューノーマルの名無しさん:2021/11/25(木) 23:35:45.55 ID:le3g+kHn0

>>8
メルアドは漏れてもいいってこと?
いやメルアドがIDなのかな
他に登録情報はないから登録しているかどうかぐらいはバレてもいいだろテヘ的な?

102:ニューノーマルの名無しさん:2021/11/25(木) 23:37:31.90 ID:HiM2Zim60

>>98
登録に家族の氏名や電話番号も必要なようだぞ
立派な個人情報だと思うが

14:ニューノーマルの名無しさん:2021/11/25(木) 23:11:02.27 ID:ALPY9lXm0


まぁなんか悪さされた訳でもないならいいんじゃねどうでも

 

15:ニューノーマルの名無しさん:2021/11/25(木) 23:11:28.07 ID:buDTziG10


セキュリティの問題と言うより、要件に対してシステムの論理設計した奴の頭が悪い

 

20:ニューノーマルの名無しさん:2021/11/25(木) 23:12:42.42 ID:/GsGIGFd0


なんで別で入れさせないのか
逆に新しいわ

 

128:ニューノーマルの名無しさん:2021/11/25(木) 23:47:21.19 ID:T3RwF2US0

>>20
別に入れさせるのに画面設計やデータベースの構造を変えなくちゃならなくて
追加代金を出したくなくておかしなことになったんだと予想

23:ニューノーマルの名無しさん:2021/11/25(木) 23:13:48.65 ID:31pyyc8Y0


セキュリティー考えたら、基本的にNG数字じゃないか

 

26:ニューノーマルの名無しさん:2021/11/25(木) 23:14:05.69 ID:hnErSM/j0


通ってる病院の予約サイトが診察券に書いてる患者IDと生年月日でログインだわ

 

238:ニューノーマルの名無しさん:2021/11/26(金) 00:45:55.62 ID:/DtfJQrA0

>>26
患者IDが6桁だと、100万とおり
生年月日は、365とおり

100万かける365=3億650とおりだろ、
安全だよ。
問題ナイサー

27:ニューノーマルの名無しさん:2021/11/25(木) 23:14:12.69 ID:gEm00BVu0


この仕様で設定後は変更できないって、この子育て支援サイトの本音は新たに子供を産むなってことか
あほすぎる

 

35:ニューノーマルの名無しさん:2021/11/25(木) 23:15:53.20 ID:BRYv2qsi0


読んだが個人情報取り扱ってないならいいんじゃない?
誰でも嘘生年月日で登録できるからそもそも会員制である意味もないけど

 

39:ニューノーマルの名無しさん:2021/11/25(木) 23:16:46.07 ID:eH8C5wWR0


①メルアドとパスワードだけでシステムの外部設計をする
②プログラマが「12歳の年の3/31を経過したかわかる情報がありません!」と気づく
③えらい人が「改修の予算がない!パスワードに生年月日を入れさせろ!」と決定する
④今にいたる

ただの推測だけどこんな感じじゃないのw

 

300:ニューノーマルの名無しさん:2021/11/26(金) 02:54:14.49 ID:wgSvfwWZ0

>>39
ありがち。データベース設計は一番最初にやるから影響がデカすぎて修正できなくなる。予算や納期的に。
ただこの件はパスワードを使わないつもりのシステムについて、後から生年月日をパスワードだと言い張ってるだけな気がする。

304:ニューノーマルの名無しさん:2021/11/26(金) 03:35:47.69 ID:fioQLq5x0

>>300
あー
セキュリティ音痴な担当者がパスワードなしで業者に開発指示しちゃったけど
後からポリシー違反になるとかがわかって、でも契約変更して失点になるのが嫌で、
パスワードなんですと強弁した展開かな?

一番の謎は、既にリリースしちゃってること
こういう開発案件って、リリース前に県のセキュリティ部門がチェックしないのかな?
縄張りがあって手を出せないのかもしれないが、
利用者は県民で、県として責任を負う以上、普通はチェックするよね

40:ニューノーマルの名無しさん:2021/11/25(木) 23:17:07.26 ID:zqIFNMAn0


アカウントとパスワードじゃなくて
アカウントと生年月日と素直に言えばいいのに

 

48:ニューノーマルの名無しさん:2021/11/25(木) 23:19:55.58 ID:TtBkEnOZ0


passwordって生年月日なんだ

 

60:ニューノーマルの名無しさん:2021/11/25(木) 23:23:00.99 ID:P3Df7Yx10


メアドをIDにできるんだから
生年月日をパスワードにしてもいけるんじゃね?
実際に生年月日を暗証番号にしてる人もいるし
なんていう安易な発想から生まれたんだろうな

 

65:ニューノーマルの名無しさん:2021/11/25(木) 23:26:11.83 ID:HiM2Zim60


子供の生年月日で振り分けるというなら、ログインではなくデータベース上で別プログラムで行うべきだわな
なにもかもログインで認証させ一緒くたにとか、どこからそういう発想になったんだか

 

83:ニューノーマルの名無しさん:2021/11/25(木) 23:30:34.38 ID:Xku43fA30


メールアドレス入力するだけでパスワードも不要でいいレベル
登録したメールアドレス宛にお得なお知らせメール飛んでくるML登録する程度のサイトならこれでいい

 

89:ニューノーマルの名無しさん:2021/11/25(木) 23:31:15.93 ID:D0TfFk1y0


パスワードって暗号化されないの?

 

96:ニューノーマルの名無しさん:2021/11/25(木) 23:34:59.94 ID:WPw8Kvj80

>>89
普通はハッシュ化する。
復号できない形で保持して、ユーザーが何をパスワードにしたのか
システム側もログでも取っ手ない限りわからない形にする。

133:ニューノーマルの名無しさん:2021/11/25(木) 23:49:05.62 ID:ikOAhtbe0

>>89
本来はハッシュした結果を判定に使うべきなんだけど、
現実としてはかなり多くのサイトは客からの問い合わせ用としてそのまま保管してる。

111:ニューノーマルの名無しさん:2021/11/25(木) 23:40:39.23 ID:HhjR9cCD0


これは生年月日をパスワードだと言い張っているだけで、実質的にはパスワードではない
ただ、IDとパスワードでログインするという体裁にしておけば不正アクセス禁止法の対象になる
公務員は法律で決められていることは必ず守られると信じているから、
彼らにとってはこれで不正アクセスは起こりえないことになるのだ

 

114:ニューノーマルの名無しさん:2021/11/25(木) 23:42:39.57 ID:JuEMxD5U0


多分、生年月日を入力させる仕様が漏れていて
いまさら入力項目を増やすなんてできない→そうだ、パスワードを生年月日にすればいいじゃん
ってひらめいたんだと思うよ

 

143:ニューノーマルの名無しさん:2021/11/25(木) 23:53:41.44 ID:ikOAhtbe0

>>114
多分これ。
不正アクセスされても実がいないサイトだからこれでも良いと思う。

291:ニューノーマルの名無しさん:2021/11/26(金) 01:51:03.32 ID:yFVXIDyn0

>>114
なるほど、やっと意味がわかった
生年月日の入力欄を、パスワード欄にした
って事か

130:ニューノーマルの名無しさん:2021/11/25(木) 23:47:45.58 ID:vwYN/k2F0

>>114
多分これな
担当者一人で仕様チェックなかったんだろうな

125:ニューノーマルの名無しさん:2021/11/25(木) 23:45:55.45 ID:/aKe8+jG0


>特典やサービス、支援施設などの情報を発信しているWebサイト
>メールアドレスと生年月日以外に扱う個人情報が無い

なんか認証自体要らんのじゃね?って感じのサイトだな
全く認証無しもアレだから、期限チェックも兼ねて生年月日をパスワードにしたって感じかなあ