NTT東日本の@ビリング
電話料金がたった105円安くなるということで申し込んだわけです、NTT東日本の@ビリング。もうほとんどの月々の支払いに電子明細サービスを利用しているので今更躊躇はありませんでした。
そしたらユーザーIDがランダムな数字とアルファベット小文字の組み合わせ8文字でいやがりました(初期パスワードは数字8桁)。適当な例を作ると8he1zp4dみたいな感じ。覚えられるもんなら覚えてみろって感じ。2ちゃんのトリップか、パスワードの間違いですかって感じ。いかにも安全っぽいかも、という気がしている人がいるかもしれませんが、人間の自然な行動は「このユーザーIDを適当な紙にメモるだろ、ついでにパスワードもメモっとくだろ、紙ごと紛失してあぼーん」という事態を招きがちで、特段セキュアなわけではありません。
NTTドコモがeビリングを始めたときも確かそんなIDでした。途中からユーザーIDを変更できるようになりましたが。NTTグループはこういうのがお好きですね。ちなみに@ビリングはサービス開始から3年以上経っています(値引きは今年から)。
このエントリーのトラックバックURL: http://as-is.net/mt/mt-tb.cgi/238
こんにちは。
そうなんですか。値引きしてくれるようになったんですね。
以前は、とくにメリットもないサービスだよなぁと思っていましたが。
NTTの様な莫大な数のネットビギナーを相手にする場合は、自分でアカウントとったにも関わらず、
「忘れたので教えてください」
という問い合わせが多いからかも知れませんね。
だったら、最初からこっちで決めちゃえば?というような。
或いは、やはり誕生日とか使っちゃうからでしょうか。
この話は奥が深いかも。。。
「みなさんパスワードは電話番号や誕生日にしてそうなので、IDを特定されにくくしてやる必要があります」
というと一見筋が通っている、いい話のような気がしますが、違います、話があべこべです。
IDが判明したとしてもオンラインサービスの使用権は奪われないようにするのがセキュリティです。
「@ビリング」にログインしようとすると、「変なID」「パスワード」「電話番号」を要求されます。
電話番号自体IDとして機能しているわけですから、実質
「NTTが振った固定のパスワード」「ユーザの決めたパスワード」「ID=電話番号」
の3つをユーザは入力していることになります。
「電話番号」「ユーザの決めたパスワード」(誕生日や電話番号にしているかもしれない)だけによる認証の脆弱さを考えると、
別のパスワードが必要だと考えるのが自然で、だからこそ「NTTが振った固定のパスワード」が必要なのでしょう。
しかし、そうだとするとここには問題が3つあります。それは、
(1) そのパスワードをNTTが決めていること、
(2) そのパスワードが固定であること、
(3) NTTがそれをIDだと偽っていること、
です。(1),(2)の事実は、NTTからの漏洩によってパスワードとしての意味がなくなる可能性を示唆しています。
(3)の事実は、ユーザからの漏洩を妨げにくくする効果を持ちます(エントリー本文に書いたように)。
ううむ。なるほど。
NTTがふった変な番号は、実はIDではなくてパスワードなのだということですね。
納得しました。
結局、本当にセキュアなということを考える場合は、「本人が本人にしか分からないようなパスワードを付けられる仕組みと、誰しもがそうする様にもっていく教育(告知)をする」ということでしょうか。
逆に、変な文字列を割り振るのは、中途半端なお節介というか、やるなら徹底してやらないといけないところなのだなという気がしました。
まああれが「パスワード」だというのは、揶揄が過ぎるというか言いすぎなんですけどね。基本的には強度を増そうというのなら、IDの確認方法を厳密にしたり、自明でないパスワードを振ることをユーザーに促したり、パスワードを二重化したりする正攻法が重要ですよね。