「ほっ」と。キャンペーン

nanaco のパスワードについて。   

nanaco の会員サービスのログイン方法には、店頭で申し込んだユーザー(プレゼントなどのキャンペーンで配布されたカード)向けにカード ID + チェックサムでログインする方法と、パソコンで申し込んだりおサイフケータイで使用するユーザー向けにカード ID + パスワードでログインするという2つの方法がある。

当然ながら、カード ID + チェックサム方式だとカードの盗難や覗き見に(あの桁数を一瞬で記憶できる人はそんなにはいないだろうが)あってしまった場合に購入履歴(厳密には使用した日付と店名)がダダ漏れになってしまうので、一見パスワードをかけないとまずいように見えるのだが nanaco の場合パスワードをかけるとセキュリティレベルが落ちてしまう。

というのもどこかで聞いたような話だが nanaco のパスワードの再発行(厳密には再設定)をするプロセスが、カード ID (チェックサムはいらない) に登録した氏名(カタカナ)に電話番号と生年月日だけで再設定できてしまうからだ。つまり nanaco にパスワードを設定すると覗き見をされるだけでなく、アカウントを乗っ取られてしまう可能性がある。幸いパスワードの再設定がザルすぎるおかげで、簡単にパスワードを再設定でき、すぐに取り戻せるが、イタチごっこには変わりないし、なによりもパスワードの変更に関する通知が一切ないので、知らないうちに乗っ取られていたなんていう事になりかねい。

私にとって非常に奇妙に感じるのは一般的にパスワードの再発行時に行われているようなメールによる確認プロセスを行わない点だ。 nanaco にはメールアドレスを登録する項目がありメールマガジンを毎週のように送ってくるのにだ・・・。
[PR]

by norah_models | 2012-03-09 17:19

<< マイクロアドは何をしたかったのか? PrefBar API メモ >>