オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

銀行の悪口をパスワードにしたら、銀行側が「それはちがう」と勝手に変更された(イギリス)

»

銀行の悪口をパスワードにしたら、銀行側が「それはちがう」と勝手に変更していた :らばQより

イギリスの銀行でロイドと言えば大手中の大手です。

BBC NEWSによると、スティーブ・ジェットリー氏は当銀行と保険についてもめたことから、無料で口座をもらいました。そしてその口座でテレフォン・バンキングの機能を使うためにパスワードを設定したのですが...。

もめた事で腹を立てていた彼が設定したパスワードというのが、「ロイドはパンツだ」"Lloyds is pants" というものでしたが、さっそく使おうとするとパスワードがマッチしないと言われ、パスワードが変更されていたことに気づいたのです。

変更されていたパスワードは「それはちがう」"no it's not"というものだったらしく、ロイドのスタッフの一人が変更したのだそうです。最初はおもしろいと思った彼も、パンツのパスワードに戻せないことを知って怒り心頭だったようです。

しかたないので今度は「ロイドはゴミだ」"Lloyds is rubbish"にしようとしましたが、それも却下され、次にライバル銀行のバークレイの名前を出して、「バークレイのほうが良い」"Barclays is better"で確認したところ、それもダメだったそうです。

ルールを変えられたようで、1語でないとダメと言われてしまいました。そこで選んだ言葉が検閲と言う意味の「センサーシップ」"Censorship"。今度は6文字以内でないといけない旨を伝えられました。    

これを見て、3つのことが浮かびました。

その1.

セキュリティ的な話で言えば、銀行側がパスワードを確認出来るってことは、いくらでも悪用出来る。ってことですよね。管理体制は。。。どうなのだろう?と疑問に思うことと、信頼がなくなります。

その2.

セキュリティ的な話を置いておいたとすれば、面白い話に変わります。人的にパスワードをチェックして言うのですから・・・それも、悪口を一切受け付けないってところや、「それは違う」と、まるでチャットのようにパスワードで、やりとりをしていた。。。面白いです。

今はもうなくなってましたが、アイフルお姉さんを思い出しました。これは機械的に準備された回答をしてくれます。ちゃんとNGワードも用意されてました。サービス内容などの質問に回答をしてくれるものです。

この手のものは、必ず「耐久テスト」をしてみたくなるものです。まともな質問をした記憶がないです(笑)

年はいくつ?と聞けば、私は23歳です(記憶が曖昧)のように、教えてくれます。しかし、セキュリティの探求という使命がある以上は、もう少し突っ込んだ質問をしなければなりません。←ホントか?単に趣味なだけじゃないか

で、あんな質問やこんな質問をすると、お姉さんは「怒ったり」するのです。「そんなことは嫌いです!」のようなメッセージを出すのです。また、ちょっと変な質問をすると「困ったり」するのです。写真が都度変わるので、表情が見えるところが面白いものでした。プン!としたり、スマイル0円のようなサービス笑顔など・・・

当時、結構面白くて色々と遊びましたが。。。この遊びはネットの中だけの「不健全」な遊びであることに気づきました(爆)

その3.

10年近く前ですが、インターネットのサービスでパスワードを忘れてしまい、電話で教えてもらいました。当時は電話でも教えてもらえた時代でした。どうしても思い出せないパスワードでした。米国のサービスだったので、国際電話をかけ、拙い英語でパスワードを教えてもらったのですが・・・

オペレータのお姉さんは、ためらったように教えてくれません。しつこく何度も聞いた後に重い口を開いた言葉は、

[Fu○k You Bi○ch]でした。何で怒っているのか?と思いきや。。。なんと!それが私のパスワードでした(自爆)

NHKの基礎英語に出てきそうな、明確な発音で、教えてもらえました。

それ以来、コレは使ってませんし、パスワードにおける自主規制のようなモノが私の中に出来ました(笑)

パスワードは人に教えるものではないので、何でもよく、わかりにくいモノのが良いのですが、今一度考えた方がいいです。って、こんなのパスワードにする人は、いないでしょうね(爆)

Comment(2)