誕生日で認証問題・日米の例
こんな話題が出ているようで。
末尾にあるように、現在は記載が変わっていますが、実際のパスワードがどうなのかは不明ですね。
誕生日は最大でも366通りしかなく、しかも正しい誕生日を入れているなら調査可能な場合が多いので、認証に使うのは論外です。
しかし、米国でも同様の事態があるのでした。
「『Myspace』は『Yourspace』ではない」
かつてSNSの雄として名をはせたMyspaceは、2016年に3億6000万アカウントの詳細を漏洩していたことが判明しました。そんなこともあって、上記記事の筆者は、Myspaceアカウントを解除するために調べていたところ、アカウント・リカバリ機能があることに気づきました。
この機能は「登録したメールアカウントが使えなくなった場合でもMyspaceアカウントにアクセスできるため」のものですが、ここで必須な情報は次のものです。
- フルネーム
- アカウント名
- アカウントに紐付けられたメールアドレス
- 今アクセス可能なメールアドレス
- 誕生日
ただし、今アクセス可能なメールアドレスは実在チェックをしていません。また、アカウントのメールアドレスと名前はprofileページで分かります。アカウント名は自明ですね。
結局、誕生日だけでアカウントが認証されてしまいます。
筆者は4月にこの件についてMyspaceに指摘しましたが、(自動応答以外)何も返ってきませんでした。その結果がこの公開というわけです。
「Myspaceは、誕生日さえ分かればどんなアカウントでも奪取できる」
上記記事のUpdateによれば、(おそらくはこの公開を受けて)Myspaceはアカウント・リカバリのページを削除しました。