JAL公式サイトの2段階認証がガバガバでザルという噂

economicanimal
JALのセキュリティはどうやらZAL(ザル)のようです。

JAL公式サイトで、2段階認証が設定されましたが、なんと誕生日認証というガバガバっぷり

こwwwれwwwはwww斜wwwめwww上wwwだwww JAL – JALホームページにおける2段階認証の実施について jal.co.jp/info/jmb/14073…

https://matome.naver.jp/odai/2140699639977967001/2140699695478418203
誕生日は2段階認証の意味ないだろ!
JAL「2段階認証取り入れるよ!」 ← わかる
JAL「生年月日を入力すれば認証されるよ!」←!?!?!?!?
でかい会社ってアホさで想像の斜め上をいくよなあとJALの件で思った。

かつたつ@kthrtty

JALの2段階認証と称した誕生日入力も、カード会社の引き落とし口座下4桁入力も、そんなもん対して効果のない「やってるんですよ」感出すだけの虚しい改修であるなぁ。

かつたつ@kthrtty

しかし「やってるんですよ」感を出さないと対外的にも社内的にもバツが悪いので、仕方ないとはおもいます。今回のはデザイン変更の一種であると。
まあ、俺もその認証の仕組みどう考えても頭おかしいですよって止めたけど、実装せざるを得なかったことあるし、あんなの作らされたエンジニアには同情を禁じ得ない。給料をもらってゴミを作る罪悪感。

なかがわ@Neducchi_Nakgwa

「にだんかいにんしょう」を導入したJALのページログインしたら案の定フルネームが出てきた。詰んでる。 つまり、JALが導入したこの認証もどきは、リバースブルートフォースアタックとFacebook(あるいは名簿屋から買った名簿)で簡単に突破できる。
まさにZAL(ザル)認証
つまり今まで通りリバースブルートフォースアタックで当たりのアカウントを集める(ヒット率は変わらず)→ログイン後のページから実名を取得→ベネッセの名簿とかで実名から誕生日を取得→二段階目の誕生日入力→やりたいホーダイ、ってことのようです。。。

加えて画面時点で指名や年齢を把握できるという、更なるザルっぷり

Hiromitsu Takagi@HiromitsuTakagi

この画面の時点で、氏名を把握できているわけだが、それだけではなかった。 pic.twitter.com/mTOflUpuc1

Hiromitsu Takagi@HiromitsuTakagi

適当に便を選んで予約の画面に進むと、生年月日を元に計算された年齢が表示される。したがって、生年月日入力といっても、実質、月日のみであり、1/365.25 の確率で突破される。 pic.twitter.com/RFmTCcmyWr

Hiromitsu Takagi@HiromitsuTakagi

JAL曰く「会員情報参照…や…に際し、生年月日による認証が必要」とのことだが、いったい何を守りたいのだろうか。予約の画面に進めば、生年月日の入力なしに、登録済みの家族の情報とかも出てきてしまう。 pic.twitter.com/0Mg91M2jqC
俺の嫁29歳、俺の娘4歳って何ですねんwwwww

Hiromitsu Takagi@HiromitsuTakagi

携帯電話番号もメールアドレスも出るし、守られるのは住所くらいなものか。

こうなることは、日頃JALサイトを使っていればわかることなのに、社員にもわからないのだろうか。

だからあれほど「まともなセキュリティコンサルに相談して、根本からセキュリティを考え直したほうがよい。 」と。

JALには、1分ごとに誕生日が変わる人がいるのかもしれない。そんな人向けの2段階認証。
なんだかよく分かりませんが、JALのサイトの利用規約の禁止事項に「他人に生年月日を教えてはならない」が追加されるのはいつ頃でしょうか。

IdentityDuck@IdentityDuck

あれですかね、嘘の誕生日申告してバレたらセキュリティのためですとかクレームするとどうなるんですかね?

たいにゃん@bugnekotinyan

JAL「誕生日は定期的に変更してください」

トデス子@todesking

とりあえずあれを二段階認証と呼ぶのは今後不幸が発生しそうなのでやめたほうがいいと思う
JALにまともなセキュリティが導入されるのと、みずほのシステムが統合されるの、一体どちらが早いのだろうか
ファイッ
https://matome.naver.jp/odai/2140699639977967001
2014年08月03日