翻訳元:https://www.reddit.com/r/japanlife/comments/1e62a7x/whats_the_most_extreme_digital_security_fail/
【海外の反応】パスワードにカンマはダメ、データベース生?👀💡
海外のサイトであなたがこれまでに遭遇した最も極端なデジタル セキュリティの失敗は何ですか?が話題になっていたので、海外の人々の反応を翻訳してご紹介します。
海外のスレ主のタイトルと詳細
あなたがこれまでに遭遇した最も極端なデジタル セキュリティの失敗は何ですか?
最近、佐川からの荷物を忘れてしまい、再配達を受けるためにアカウントを登録していたときに、パスワード要件に関するこの奇妙なルールを見つけました。
パスワードに「,(カンマ)」を使用することはできません。
さて、私は特殊文字を許可しない Web サイトをたくさん見てきましたが (これも非常に悪質です!)、特にコンマを許可しないというのはここで初めて見ました。このことから、パスワードを平文データベースに保存しているのではないかと疑問に感じます。
あなたが遭遇した最大のセキュリティ上の失敗は何ですか?
このスレッドを見た海外のスレ民の反応
ちょうど 8 文字で、特殊記号はありません。
ソニー銀行の口座も作ったようですね
公平を期すために言うと、日本以外のオンライン銀行も文字数を 8 文字に制限しているのを見たことがあります。
また、少なくともソニー銀行は(非常に時代遅れの)2FAの形式を採用しています。すべての銀行についてそうとは言えません。
意味がありませんが、SQL インジェクションなどに特殊文字を使用できるため、意味もあります。
ANSI 文字に制限することは、ハッシュ化前の文字エンコーディングの間違いを避けるために理にかなっていると思います。パスワードが SQL インジェクションを引き起こす可能性がある場合は、まったく別の問題が発生します。これは、ある時点でそれらが平文でデータベースに挿入されることを意味しており、これはまったくひどいセキュリティ慣行です。
つまり、そのためにクエリをパラメータ化し、ステートメントを準備しましたが、誰かがこの方法でセキュリティ問題を「解決」しようとしているのは完全にわかりますし、そのような人が銀行で働いていることを考えるととても心が痛みます。
特殊文字がこれに悪用されると、バックエンドがどれほどひどいものになるかを想像してみてください。
ほとんどの場合、これらの制限はサポート コストを削減するために行われます。 「高齢者が高価な人間のオペレーターに電話し、電話でパスワードを話したり聞いたりしなければならない」ことを考えてください。
「セキュリティを確保するため、在留カードに記載されている名前を正確に入力する必要があります。」
「名前フィールドの文字数が多すぎます。続行するには一部を削除してください。」
オンラインの名前フォームでは、あなたが誰であるかを証明するために提出を求める物理的なカードと同じ数の文字をサポートしなければならないという法律が必要です。
https://www.kalzumeus.com/2010/06/17/falsehoods-programmers-believe-about-names/ のリストにリンクする十分な理由が常にあります。
ちょっと前にこの記事に衝撃を受けました…
以前は考えもしなかったことがたくさんあり、今では名前が挙がるたびに自分の職場が重要であることを説得しなければならないことがたくさんあります。
https://shinesolutions.com/2018/01/08/falsehoods-programmers-believe-about-names-with-examples/
この記事には、他の人に説明するときに非常に役立つ例が含まれています。
番号 3 は奇妙に思えます。パスポートには正式名が記載される必要があり、正式名に加えて AKA が記載される場合もありますが、単なる別名ではないからです。
これがとても大好きです
一部のクレジットカードを申し込むときもイライラします。あなたの名前は、銀行口座に反映されているものと正確に一致する必要があります。問題は、一部のフォームで受け入れられる文字数が銀行よりも少ないことです…
彼らは電話をかけまわす必要があります。
ミドルのイニシャル。なんてことだ。
ここに来て20年になります。クレジットカード4枚。銀行ローン。明らかに、日本では長く確立された良好な信用履歴があります。
長年会員のコストコに行ってきました!マスターカードにサインアップします。彼らのシステムは私のミドルネームのイニシャルを受け付けませんでした。それで放置してしまいました。クレジットカード会社から「カードが拒否されました」と連絡がありました。申請書が運転免許証と一致しません…冗談ですか。楽天マスターカードにアクセスしてサインアップし、1時間以内に承認されました。
どちらもマスターカードです。
なんというシステムの完全な失敗だ。
または、銀行口座はあなたのフルネームをサポートしていません。他の部分に指定したフルネームも身分証明書と一致しません。
私の日本での生活を一言で言うと。
みずほは私のフルネームを正しく登録しており、手紙など一部のものには正しく表示されていますが、ウェブサイトでは私の名前が短く表示されています。
ワイズに銀行口座が本当に私のものであることを認めてもらうには、大変な困難を乗り越えなければなりませんでした。
そして、楽天です…すべてのフォームに適切に記入し、カードが届いたメールの宛先に私のフル英語名を記載したにもかかわらず、彼らはカードに私の名前をカタカナ化したローマ字で綴りました…
何でも。それは動作します。
楽天証券は私の名前とミドルネームの間のスペースを削除することを拒否しました。楽天カードは「名前内のスペースを処理せず」、データベースに挿入する前に削除するだけです。そのため、2つのアカウントをリンクすることはできません。これはよくある問題で、どうやら三者通話で数時間電話をすれば解決できるようです…誰もそんな時間はありません。
私がカードを受け取ったとき、彼らは私に連絡せずに私の名前の代わりにミドルネームを使用することを決定した方法が好きです…幸いなことに、私はそれを請求書の支払いに使用するだけですが、くそ…
ミドルネームの欄はないので、名前の後にスペースを入れて入力する必要があります。ただし、スペースは許可されません。それで今は一緒に実行されています。ああ、でもそれはあなたの在留カードと一致しないのであなたの申請は拒否されるか何かではありません。
私が経験した例としては、楽天のクレジットカードが挙げられます。すべて正しく記入しましたが、私の名前はカタカナでした…この国で記入する他のものと同じように。さて、承認されましたが、カードが自宅に届くと、配達員が身分証明書の提示を求めてきました。
在留カードの名前は英語のみ(なぜ?)、日本の運転免許証は英語のみ、キャッシュカードは英語のみ…などなど。国民健康保険証には両方とも私の名前が記載されていたのですが、写真付きの身分証明書ではないので受け付けてもらえませんでした。
それで彼らは去ったのですが、楽天は私に、名前を書き直して適切な身分証明書の写真のコピーを添付するよう求めるフォームを送ってきました。クレジットカードは大騒ぎせずに使えるので、クソです。彼らがそのクレジットアカウントをキャンセルしただけなのか、それとも何なのかはわかりません。
なんと、softbank でカード番号を変更しようとしてこの問題が発生しました。カスタマーサポートに電話しなければなりませんでした。新しいカード情報を送信できるように、システム内の名前を一時的に短いものに変更する必要があり、その後、元に戻す必要がありました。
これは、東京電力が私に口座上のカタカナ名を確認するよう求めたときにも一度起こったことですが、その口座はもともと日本に来た後に住宅仲介業者によって設定されたものだったため、実際の名前と一致しませんでした。文字通り、アカウントがソフトロックされ、代わりに電力を東京ガスに切り替える必要がありました。
同様のことが東京水道でも起こり、アプリが永続的にログインしているアカウントは、私の古いアパートのもので、2021年に凍結されたものであり、新しいアカウントの資格情報で更新することはできません。
最近見たパンフレットには、「誰かが写真を撮った場合のセキュリティのため」口座番号をクレジットカードの裏面に移動していると宣伝されていました。
…そこにセキュリティコードがあります。重要なのは、オンラインでカードを使用するために必要なすべてを 1 枚の写真で捉えることができないように、カードの反対側に配置する必要があるということです。おめでとうございます。「追加」したと宣伝しているセキュリティが解除されました。カードはバターを塗ったトーストのようなものではありません。彼らは常にビジネス面で不利な立場にあるわけではありません。
公平を期すために言うと、米国に本拠を置く私の銀行もこれを行いました。ただし、彼らはその理由については何も述べていません。
編集:https://slate.com/business/2018/04/why-are-credit-card-numbers-on-the-back-of-the-card-now.html。
TBH これは単なるファッションの問題だと思いますが、彼らはその過程で CVC/CVV/セキュリティ コードの要点をすべて無効にしています。
それは基本的にセキュリティ劇場であり、企業は人々の立場を正当化するために働いていると私は思います。仕事を続けたい人は、プロジェクトを考え出さなければなりません。 セキュリティは万全です!少し調べて、変更してください。全員のためにもっと仕事をしましょう。数年後に繰り返します。
私はこのようなカードを数年前から持っています。
私のオーストラリアのカードはこんな感じです。
カードに数字が押し込まれることもなくなりました。裏面にプリントしただけです。
以前は、カードの裏面の写真を撮っても、くぼみのおかげで表面に印刷された番号を見ることができました。
私のPaypayカードには番号が書かれていないのですが、送られてきたときにカード番号が書かれた手紙が入っていて、「この紙をなくさないでください。カードが必要な場合はカードを再発行する必要があります」と書かれていました。番号’
いずれにせよ、CCV (単独) は時代遅れであり、ほとんどのオンライン支払いは現在、追加で OTP/2FA を承認されています (Visa または Mastercard SecureCode による検証を介して)。このような 2FA がないと (オフライン決済はまだ利用できるため)、顧客が CC チャージバックを要求した場合、責任はベンダーにあるようです。
SMBCカードは完全に番号レスになり、カード番号を入力するためにアプリを開かなければならないのは少し不便ですが、セキュリティは気に入っています。
(笑)その時点で、彼らはおそらくプラスチックカードを取り除き、paypayなどのアプリでQRコードを提示する必要があります。あるいは2004年のようにおサイフケータイを実装するかもしれない。
重要なのは、オンラインでカードを使用するために必要なすべてを 1 枚の写真で捉えることができないように、カードの反対側に配置する必要があるということです。
公平を期すために言うと、一部のサイトではセキュリティ コードを必要としないため、通常のカードの表面の 1 枚の写真で、必要なものすべてをキャプチャできます。
また、カード番号をセキュリティ コードとともに裏面に移動すると、誰かがカード裏面の写真を 1 枚撮影してすべての情報を取得するリスクが高まるのは事実ですが、カード番号を他人に見せられる可能性も減ります。その他。考えてみてください。レジで支払うためにカードを引き出すとき、カードの裏面は常に下を向いています。写真を撮るには下から撮るしかありませんが、これは非常に困難です。
…カード番号を他人に見せる機会も減ります。考えてみてください。レジで支払うためにカードを引き出すとき、カードの裏面は常に下を向いています。
私が言いたいのは、まさにこれは真実ではないということです。
どうして真実ではないのでしょうか? 「常に」というのは少し言い過ぎかもしれませんが、ほとんどの場合、カードは下を向いています。タッチ・トゥ・ペイの場合、カードの裏面は POS 端末によってさえブロックされます (表面は完全に見えていますが)。背面の写真を撮る唯一のタイミングは、財布から POS に取り出す一瞬の瞬間であり、それはローアングルからでなければなりませんが、これは、たとえば隠しカメラに比べてはるかに困難です。カメラが上から、POS に対して動かずに数秒間保持されている通常のカードの表面の写真を撮影します。
公平を期すために、私はほとんどムリカでカードを使って支払いましたが、スワイプするときカードはほとんど常に上ではなく横を向いていました。チップンピンがついにそこに飛び立ってくれればいいのですが、話はそれました。いずれにせよ、誰かが隠しカメラを設置することまでするなら、上でも下でも、どこにでも設置することができます。
私の知る限り、写真に対する防御のポイントはPOSスキミングではなく、カードがテーブルの上やどこにでも置かれていて、無害な目的でソーシャルメディアにアップロードされた写真の背景にたまたま写っていたという偶然の写真でした。私もこのようなことがありましたが、両面カードだったので情報が不完全でした。この場合、カードのバター面が下になるとは限りません。
その逆ではないでしょうか?カードを裏向きにしてタッチ操作でタップするので、表面よりも裏面の写真を簡単に撮ることができます。
Samsung 経由の私のカードには、物理的なカードに番号さえ記載されていません
私のお気に入りは、「添付された暗号化された zip ファイルを見つけてください。パスワードについては、次のメールを参照してください。」です。なぜなら、送信中に 1 通のメールを盗むことはできるかもしれないが、2 通を盗むことは不可能だからです。
そうそう、うちの職場もそうしてます。とても愚かです。
これは何よりも、添付ファイルを誤って転送することを防ぐためです。うっかり転送してもパスワードがないとダメ
私は、セキュリティを保証するために別の電子メールでパスワードを自動的に送信する電子メール プラグインを好みますが、残念なことに、まったく同じ SMTP セッションで送信されることも保証されているため、パスワードで保護された zip ファイルを求めてあなたの電子メールを盗聴する人は、間違いなく別の電子メールを目にすることになります。パスワードは直後に設定されます。
それは取り除いたほうがいいでしょう。 zip 形式の添付ファイルは暗号化されていないため、zip に追加の悪意のあるファイルが挿入される可能性があります。
最悪なのは、電子メールの購読を解除するためにアカウントにログインしなければならないことです。
私の経験では、どの外資系企業も電子メール内に「購読解除」リンクがあり、ワンクリックで完全に機能します。ログインも何もありません。
一方、日本では…ログインし、メール設定を変更してください (多くの場合、複数のページで) 変更を行うまで 10 日間お待ちください。とても愚かです。
私はある日これにうんざりして、「配信停止」または「配信停止」と書かれたすべてのメールを疑似迷惑メール フォルダーに直接送信するようになりました。
はい、Google にスパムだと伝えてください
これは、最も重要なインフラストラクチャとデータが保管されているメイン サーバー ルームにアクセスできるすべての人のリストです。
最高経営責任者(CEO)
IT部門の責任者
リードインフラストラクチャエンジニア
建物管理者の要件に応じた外部の清掃および清掃スタッフの数は非公開です。
このクソのせいで、世界的なサイバーセキュリティ認定を取得することができなかった。なぜなら、この巨大な 35 階建てのオフィス複合施設にあるほぼすべての Baito フロア掃除員がサーバー ルームにアクセスできるからである。
笑。つまり、あなたの会社は明らかにセキュリティを優先していないので、それは公平なことです。認定資格の人々がそのようなことをチェックすることで、認定資格の信頼性が確実に高まるのは嬉しいことです。
最初はサーバー ルームに独自の鍵をかけていましたが、3 か月後、すべての清掃スタッフがオフィス内のどの部屋にもアクセスする必要があるため、そのドアから独自の鍵を外すようビル管理者から通知を受けました。
興味がありますが、これは通常どのように解決されますか?専用の清掃担当者が 1 人いますか?
サーバー ルームの清掃は社内の担当者のみに依頼してください。現在の状況は、清掃スタッフと管理人が賃貸フロアのすべての部屋にアクセスする必要があるというオフィス管理者の方針があるためです。
前回ドコモでプランにサインしたとき、その女性は私に紙を渡し、ログインして電話を設定できるようにアカウントの詳細を書き留めるよう期待していました。それも白紙ではなく、説明文の間にパスワードを書き込むための空白のボックスが印刷されていました。
ドコモは通常、ものを細断するのに適していますが、最近私がそこに行ったとき、それは自分の詳細を書き込むスケッチの電子xxxングでした。
実際のところ、ドコモがそれをどうするかは問題ではないが、ランダムな人にパスワードを見せるという物理的な行為自体がすでにばかげている。
パスワードはあなたの誕生日を XXYY 形式で入力し、変更できません。
私の非公開の大手フィンテック雇用主は最近、日本限定のかなり大きな AWS フットプリントでセキュリティ評価ソフトウェアを有効にしました。
100 万以上の問題のうち、約 10 万件が対処可能な問題でした。サーバー上でシェルを入手できれば、150 以上のセキュリティ昇格問題を解決して、最上位まで到達できます。
このソフトウェアの優れた点は、これを達成する方法とどの IAM ロールを活用するかについての優れたグラフも提供してくれることです 🙂 基本的に、すべてを破壊できるようにアクセスを取得する方法の 3 ~ 4 ステップの青写真です。
監査は「セキュリティ上の問題はまったくないと言いましたね」というようなものでした。
私の番号
英語でマイナンバーカードの説明を聞くのが大好きです。
マイナンバー……マイナンバーカードを覚えておいてください。
特にマイナポイントについて話しているときはカタカナの方が好きです。
だから英語ではマイナンバーカードと呼ばれるのです…。
まだセキュリティ障害は発生していません…
ご覧いただきありがとうございました。みなさんはどう感じましたか?
コメント