  |
はてなキーワード: パスワードとは
毎朝の通勤列車の中でツイッターとか書いてる人、大体は把握したよ
見てる人がいるってのはちゃんと覚えとこうね、俺は慈悲深いから悪用はしないけど、悪いやつなら君垢ハックされて晒されてるからね?
呉座勇一がさえぼう氏を鍵垢で叩いてた時も争点になったが その数の人間が見れるようにしてて「鍵があるから問題ない」とは? という状態のナマモノBL作家(であると同時に商業作家)はかなり居るのですよ現状。 さいたまスーパーアリーナであの芸能人とこの芸能人のセックス妄想を叫んでる状態。
別に審査があるわけでもない申し訳程度の鍵やパスワードさえ突破すれば
とかでいいでしょ。
今回はそもそも防衛省だか厚労省だかがシステム仕様を決める前に自治体が既に予約券を発注してたからそういうことができなかった。
やることの順番を整理できるマネージャーがいなかったんでしょ。
政府向けシステムに関わったことがある身からすると、政府向けシステムの話をするときに前提として知っておいてほしいことは、住基ネット最高裁判決に「現行法上,本人確認情報の提供が認められている行政事務において取り扱われる個人情報を一元的に管理することができる機関又は主体は存在しない」という骨子があること。これによって政府向けシステムは個人情報を一元的に管理できず、個人情報は各自治体で分散管理しかできない。この文面でググれば政府がどれだけこの骨子を気にしているかは分かると思う。
今回の話は「国民マスターテーブルを持たずに認証するにはどうすべきか」という政府向けシステムで常に挙がる課題で、良いアイデアがある人は政府に提案しにいってほしい。個人情報保護法の目的外利用に違反しない上で。
これをできるのは自治体のみで防衛省はできない。防衛省は国民の住所氏名を知らないのではがきを送れない。防衛省に限らず、どの省庁も国民の住所氏名を一元的には知らないので、政府はできない。
かなり難しい。上の骨子により防衛省が個人情報を一元的に管理することができないので、最高裁判決とは条件が異なることを主張しないといけない。たとえば「都市圏だけなので一元ではない」とか。それに国民や野党が納得するかどうか。これがひろみちゅの言う「政治的にそう言えないというのはあり得るが、乗り越えなければならない」課題。
これで良いなら予約システムなんていらないけど、密を作って高齢者に何日も前から徹夜で並ばせるのが今のシステムより良いと思う?
政府が使える一元的な情報はマイナンバーしかない。マイナンバーカードを読み取れる人だけが利用できる予約システムなら認証できるけど、自治体のネット予約さえ高齢者には使えないと叩かれているのに「マイナンバーカードとリーダーが必要です」なんて要件で作れるわけがない。そもそも「短期間に多くの人に接種させる」という目的にもそぐわない。
各自治体の予約システムがAPIを持って防衛省が接種券番号の有効性をAPIで確認できれば認証できるけど、首都圏だけで200以上ある自治体がばらばらに調達しているすべての予約システムに高負荷でも落ちないAPIを共通仕様で緊急で作らせれる必要がある。けど、そんな体力があるならば自治体の予約システム自体が落ちないようにすれば良いわけで、大規模接種自体が不要かもしれない。
個人情報を一元的に管理することができる機関を立法すればできる。けど、そんなものは「たった1年」じゃ作れない。マイナンバーと住基ネットに何年掛かったと思っている?「パンデミックという緊急事態なので防衛省が高齢者の個人情報を一元的に管理することができる」世界は「戦争という緊急事態なので防衛省が20代30代男性の個人情報を一元的に管理することができる」世界につながっていることを理解した上で、国民はこの法案に賛成できるのか? できるなら、良くも悪くも政府向けシステムの将来は大きく変わる。
結局、「国民に行政サービスを直接提供するのは自治体で、そのための個人情報を持っているのも自治体。政府は自治体を支援する」というデザインですべてが作られている日本において、菅の「政府主導でのワクチン接種」というアイデアの実現がそもそも無理ゲー。出生届や転入届を出すのは各自治体、運転免許の番号を発行しているのは各都道府県公安委員会。政府は国民の個人情報が一元的に入った共通データベースをどこにも持っていないから管理できない。従来通り、政府は自治体の支援に特化するべきだった。
中国みたいな管理国家に日本はならないという選択を国民がした時点で、この予約システムでの認証の実装の難易度は相当高い。ウイルスとの戦いに強い国は戦争にも強い国で、「人間にせよウイルスにせよ、敵との戦いに勝つために国民は政府にどれだけ一元管理されてもよいか」の総意を国民が取らないといけないので、マイナンバーや住基ネットの実績を考えると1年くらいの準備期間じゃ、みんなが期待している認証をこのシステムでは実現できない。
チェックデジットがないことで誰かの誤入力で自分の予約ができない確率が上がっているのは残念。ただ、発券しているのは各自治体なのでチェックデジットをつけられるのも各自治体なので、開発会社も防衛省もやれることはない。誰なら事前に自治体に統一仕様で作らせられたかというと厚労省だけど、接種券の仕様が決まったあとに大規模接種の話が出てきたので事後諸葛亮。こんなこともあろうかとチェックデジットの指摘が事前にできる勘が良い人がいたなら、たぶん落ちない予約システムの作り方の指摘も事前にできただろうから、大規模接種自体が不要だったかもしれない。
現状でもreCAPTCHAでBot対策されている。reCAPTCHAを越えて大量予約するやつは悪意があるので逮捕で良いでしょ。
できた。でも、接種券番号のバリデーションができない時点で大した意味はない。入力フォームの電話番号にSMS送って電話番号全体の有効性を確認することはあっても、市外局番の存在有無だけをバリデーションするなんてことしないでしょ。入力された市外局番と市外局番マスターを引きあててバリデーションをしている者だけが石を投げられる。
防衛省は生年月日の正しい情報を持っていないので、この数字に大した意味はない。たぶん予約キャンセル用のパスワード相当、当日の誤入力を見つけるためのヒントくらいの意味しかない。「パスワードを設定してください」でも良かったんだけど、高齢者には難易度が高いと思って生年月日にしたんだろう。秘密の質問みたいなもの。あなたの母親の旧姓が本当に正しいかどうかにシステム側は興味がないのと同じくらい、この生年月日が正しいかどうかに大規模接種予約システムは興味がない。
いまだに具体例が出てこないので、多分ガセ
異なる市町村番号+同じ接種券番号+異なる生年月日でログインできないことで接種券番号だけがユニークと主張しているけど、ログインできない理由はそれだけじゃない。たとえば2-123,5678がすでに登録されていることをこの人は知らない状況で、この人は1-123,1234でログインできるけど、2-123,7890はログインできない。システムとしておかしくない。
よくあるコメントに返信。
法律は素人のシステム屋なので、この指摘は正しいのかもしれない。一方で「個人情報とは個人を一意に識別できる情報のことを指すもの」というコメントもある。私には判断できないけど、仮に個人情報ではないとすると、
かなり難しい。上の骨子により防衛省が個人情報を一元的に管理することができないので、最高裁判決とは条件が異なることを主張しないといけない。たとえば「接種券番号は個人情報ではない」とか「都市圏だけなので一元ではない」とか。それに国民や野党が納得するかどうか。これがひろみちゅの言う「政治的に(『接種券番号と生年月日は個人情報ではないので一元管理します』とは)言えないというのはあり得るが、乗り越えなければならない」課題。
が正しいのかもしれない。住基ネット最高裁判決によって政府向けシステムに認証機能をつけることは想像以上に難しいという趣旨は変わらないけど、悪いのは菅じゃなくて「個人情報ではない」で突っ張れなかった防衛省なのかもね。いずれにせよ「認証すらまともに作れない技術力」から「接種券番号は個人情報なのか」に議論が高まってくれれば書いた甲斐があった。
VRSってのは各自治体の接種会場で使われているバーコードがなくてOCRが必要なことで有名なシステム。OCRは置いておいて、VRSは一元管理していない。 https://cio.go.jp/sites/default/files/uploads/documents/vrs_overview_210506.pdf の6ページ目に書いてある。
>市区町村ごとに区切られて保存されており、個人の記録は、接種券を発行した市区町村が確認できます
国民の接種率が重要指標なんだからDBは1個にしたほうが便利なのに、「あえて」区切って保存している。また、個人の記録は各市区町村しか確認できい、つまり串刺しで全国民の個人記録を見られる人はいないと書いてある。そんなわけでVRSは「政府は一元管理していません」に気を使っていることが分かる事例。
むかつく男っているじゃん?
スマホのパスワードはみてるうちになんとなくわかってた。その、スマホを盗って盗撮系アプリのインストール。
まーーーーー楽しかったね。
「ぼくはやってません!」
とかいってんのまじうけた。
うわさがばーーーーっとひろまって
退学しちゃった。
すかっとしました。
「ログインパスワードを忘れた」をタップしたら、登録メールアドレスに「あなたの登録メールアドレスはこちらです」というメールが届く。そのメールにパスワードは書いていない。
注文後に手数料等込みの料金合計を念の為確認したかったので「ご注文履歴」をタップしたら、注文番号なる数字の羅列と到着予定時刻が表示されているだけで、注文した商品名も合計料金もなんら表示されない。
衝撃を受けた。
一番問題なのは架空予約で予約が一杯になることだとおもうからそれだけは改善したい。
本人確認書類とか出させるとサポートのオペレーションがやばくなるのでそれは無理。個人情報もつのもやばい。
それ以外で何ができるか考えてみる。
実際の予約画面触ってないから見当違いなのもあるかも。
住所のバリデーションちゃんとして、対象地域以外登録できないようにする。
あとは現行と同じなんだけど、予約完了したら登録住所にはがきを出す。
配達記録追跡サービスを使えば到着状況を確認できるので届いてる人が真正な予約者と確認できる。
はがきにパスワードつけといてそれでマイページ見られるようにすればいいかも。
金はかかるけどはがきなら高齢者もわかりやすいし特に混乱なく行けそう。はがき届かなかったんですけどって言って当日会場に来た人にもワクチン打ってあげるといい。
住所書き間違いとかで届かなかった場合には問い合わせが来るだろうからオペレーションコストは上がる。
電話番号登録したら電話かかってきて機械音声のいう番号を次の画面に入力するあれ。
現行のシステムにこれだけ追加する。
torからbotで予約させるのを防ぐには十分だと思うけど、おじいちゃんおばあちゃんには難しいかなあ。
画像選択させるやつは老人には無理だからどんなやつにするかは考えなくちゃだけど、とにかく人間性の確認を行ってbot避けだけは何とかする。
これはたいして開発期間かからなさそう。
このメールにはご注意ください
個人情報を不正入手するために使用された不審なリンクが含まれています。リンクをクリックしたり、返信に個人情報を記載したりしないでください。
アカウント再設定ページへの連絡
(このメールは、配信専用のアドレスで配信されています)ヨドバシ・ドット・コムをご利用いただきありがとうございます。
パスワードを再設定したページが更新されます。
ご連絡いたします。
また、クレジットカード情報が登録されている場合、
パスワードのリセット時に登録したクレジットカード情報
削除させていただきます。
次のページから、ページ上のパスワード再設定の手順に従います。
手続きをしてください。
【パスワード再設定】
----------------------------------------------------------
●パスワード再設定をご依頼いただいた会員ID(メールアドレス)
hage@example.com
※上記のパスワード再設定ページは、SSLのセキュリティページです。
再設定ページは、このメール配信から約1時間を有効期限とさせて
有効時間が切れた場合には、再度、パスワード再設定手順にそって、
弊社よりお客様個別に配信しておりますメールには、必要に応じて
お客様の個人情報が表示されるページへリンクするURLが記載されます。
当該URLについては、ブログやソーシャルブックマーク等において、
※このメール内容に心あたりのない場合は、お手数ですが、ヨドバシ・ドット・コムお問い合わせ窓口へ至急ご連絡をお願いいたします。
じゃあよ、防衛省はどうすりゃよかったんだよ?
※今政権がクソで準備不足なのは自明なので、突然メテオフォールが降ってきたらという観点からです
「○日〜○日の間に来てください、嫌なら希望の日の当日整理券を受け取ってね」って葉書を送りつける。
これだと、当日準備するワクチン数と、確保すべき医療者数が不明になる。
1週間くらい回せば、実績から予測できるようになるだろうが、いくぶん医療者とワクチンが無駄になりやすい。
あるいは、当日整理券を受け取っても、当日中の接種を約束せずベストエフォート方式にすれば、なんども並ばせることにはなるが、ワクチンは無駄にならない。
自治体から発行済接種番号と生年月日のペアのデータ提供を受けて、接種番号をIDとし、生年月日を仮パスワードとして登録し、認証システムとする。
この場合、5月中開始に間に合うかどうかは自治体任せになる。確実に今よりは遅れる。
また、対象自治体が拡大するにつれて、対応が非常に煩雑になる。
そのうえ、これでもまだ安全とは言えない。
たとえば、65歳で3月3日生まれの人は、都内に必ずいる。なので、"19560303"という仮パスワードについて、所詮は10桁の接種番号に対してリバースブルートフォースをかければ突破できるであろう。
しかしまあ、それならそれで、券面もって窓口で対応とかもできるし、今よりはだいぶ愉快犯への耐性は強いが。
当日整理券のみ、準備するワクチンの数と確保できた医療者次第で、発行する整理券数を調整する。
謎の外国人が並んで小遣い稼ぎを始めるのを防ぐため、整理券発行段階で券面を確認する必要があり、整理券を受け取るのに結構並ぶことになる。
整理券を受け取ったあとは、Webで進み具合を確認できるようにすると◎。
また、スープがなくなり次第閉店のラーメン屋のように、並んだのに接種できない人、前日から並ぶ人も出てくるだろう。
今のシステムで、いたずら予約が頻発すると、結局必要なワクチン数や医療者の数が予測できなくなってしまい、予約の意味が薄れてしまう。
でも、いたずら予約、そんなに頻発しますかね?1人2人、見せしめ逮捕すれば、ほぼ誤差みたいになるんじゃないかと思うんで、別に今のままでもいいと思っています。
また、どうせ自治体主導でのワクチン接種もあるんで、個人的にはベストエフォート方式でもいいと思っています。
あなたの考えた最強の座組み、待ってるぜ!
言及先で電話番号使ってSMS流すとかメアドと仮パスワード付与するとか自治体からマスタ貰って流し込むとか流れてるけど、
個人情報の取り扱いのめんどくささはよく分かってるだろう。
色々情報が出てきたので答え合わせ。
前提として、
その通達では、券番号として、自治体内で一意であることしか定められていなかった。
したがって早期にシステムが稼働していることが求められ、期間的に全国2000ある自治体のシステムと連携させるとか、自治体にデータ入力させるとかいった手立てはとれない。
また、本システム側から発番済みの番号がわからない以上、仮パスワードを登録すること自体が困難。
システム設計レイヤーの問題と、実装レイヤーの問題があって、その2つは分けて考えないといけない。
SQLインジェクション可能とか、無茶苦茶な生年月日を登録できるとか。
特にSQLインジェクション可能が事実なら論外で、自治体と連携させなくてむしろよかったなぁという感想。
でも、5chのデマらしいけど。
誰でも予約可能みたいなのは、このシステム会社からはどうしようもなかった。
むしろ全国横断のシステムにするのではなく、パッケージにして、自治体に配布するほうが良かったんではと思うが、それはそれで、自治体側に運用コストが発生するし、結局データを自治体側に入力させることになるし、早期の稼働には間に合わなかっただろう。
本システムには、開発会社に起因する、稚拙な不具合が含まれている一方で、認証まわりの誰でもログイン問題は、開発会社の責任ではない。
去年の早い時期、ワクチン交渉の段階で、官邸や厚労省はすでに設計を開始しておくべきだった。
「誰でも予約」の問題は、直接には官邸の思いつきの大規模接種のブッコミが原因だけど、そもそも大規模接種や予約の問題は、厚労省が接種番号の仕様設計の段階で考慮しておくべきことだった。QRコードもな。
「この日に来てください、嫌なら希望の日の当日整理券を受け取って、別レーンに並んでください、接種券と本人確認書類を持ってきてね」ってはがきを送りつければよかった。
追記ここまで
=============
この件ね
https://b.hatena.ne.jp/entry/s/dot.asahi.com/dot/2021051700045.html
いや俺も、最初はこの会社クソやなと思ったんだけどさ。冷静に考えると、取れる手立ては少ないんでは。
このシステム、まともに作るなら、ワクチン接種番号の他に仮パスワードをつけてログインさせ、初回ログイン時にパスワード変更させるかたちになるだろう。
年寄りにそれができると思えないし、問い合わせは今の10倍以上くるだろう。
それに、日本中からアクセスしても落ちない認証システムを、このためだけに急遽立てろというのは酷だよ。
認証させないなら、それはそれで他人の番号で勝手に予約して、本人に摂取させない嫌がらせができてしまう。
そもそもワクチン接種券の仕様を決めたのは、竹中の会社じゃない。仮パスワード印刷をして各家庭に配布するのも、竹中の会社じゃむりだし、自衛隊側も嫌がるだろう。
詰んでんだよね。
そもそも番号と個人の紐づけ情報を参照できたのかも不明なんだけど。
ざっと流した中では宮久がよかった
https://beauty.hotpepper.jp/slnH000219768
”黒髪を赤い光の中で黒く染めてくれ”が予約のときのパスワード(染める必要がないので実際には染めなくていいパスワードでしかありえない文言)
Oh yeah!、10年経っていません。
酔って溜めてた少クラを見返してたら聞き慣れた音楽が聞こえて泣いて急にはてなアカウントを、つくった女の話です。
アカウント登録がうまく行かなくて何回も消火栓や自動車の写真を選択したし、いつも使ってたパスワードはミスタイプしてたせいでログイン出来なくてパスワード設定しなおした、上で酔ってこれをかいてる
ことのはじまりは5月の1週だか2週目だかの少クラを消化してたら最後の最後でハイハイがoh yeahを歌い出した。bgmの入りで感きまって泣いた。
多分酒が入ってなかったら泣いてない。
私は嵐のオタクではない。ジャニのチャンネルのバランスはラノベ並みにバランス良いなと感じながらもメンバー揃ったあたりから見てないレベルのあるある茶の間嵐オタクだ。
あるある茶の間オタクなので嵐のことはよく分からんけど周りが気になる10代だったのでMステを毎週チェックしてた影響でLove so sweetは擦り切れるくらい聞いていた。当時の貧乏小中学生の精一杯は当時リリースされた嵐のニューアルバムTimeをレンタルしてソニックステージ(時代)に取り込むことだった。
初めてCDをレンタルして親のPCに取り込んでCDに焼いてコンボボックスで再生という経験を経て、当時の私は勉強中にTimeをひたすら流していた。シャッフルという知識を知らなかったので毎回馬鹿正直に1トラック目から再生していたので、目当てでレンタルしたLove so sweetよりもoh yeahを聞いていた。
嵐がサブスクしたおかげで今これを書きながらサブスクのTimeを垂れ流しながら聴いてる。(当時のデータはソニックステージに取り残されている)今となってはアルバムを取り込んでもシャッフルで再生してしまうのだが、あらためてTimeを垂れ流していると、曲と曲の繋がりが(勝手に)印象付いているんだなと感じた。Timeなら曲順明かされなくても1人メドレーできると思う。曲が進むたびに10数年前を思い出して泣いてる。
最初自分より10も下のアイドルを応援するようになって歳を取ったことを実感したり、今は名前が売れている人々は自分の推しの年齢の時点で既にデビューしていると知って衝撃を受けたり、自分は若い方だと思っていたけど確実に歳を取っていると感じることが多くなった。あれだけ夢中になって何度も繰り返し再生したTimeももう15年前の作品になろうとしている。youtubeやsnsが発達した今このような経験をする若者はいないのだろうなと思う。でも私が嵐のファンではないのに嵐の曲を聞いて涙を流してるように、私の推しが誰かの思い出として涙を流すような存在になるのならアイドルオタク冥利に尽きるなと思う。
自分が古いオタクなんだろうなと思った。今はビジュアルだカメラパフォーマンスだと言われるが私はやっぱりアイドルがあって、アイドルがあって、アルバムがすきだ。
正直15年近く経ってTimeのコンセプトは今アイドルオタクになった今よくわからない、あまりすきではない曲もある、が、アルバムを通して聴くと愛おしくて思い出深い曲だとかんじる。
Oh yeah!、10年経っていません。
酔って溜めてた少クラを見返してたら聞き慣れた音楽が聞こえて泣いて急にはてなアカウントを、つくった女の話です。
アカウント登録がうまく行かなくて何回も消火栓や自動車の写真を選択したし、いつも使ってたパスワードはミスタイプしてたせいでログイン出来なくてパスワード設定しなおした、上で酔ってこれをかいてる
ことのはじまりは5月の1週だか2週目だかの少クラを消化してたら最後の最後でハイハイがoh yeahを歌い出した。bgmの入りで感きまって泣いた。
多分酒が入ってなかったら泣いてない。
私は嵐のオタクではない。ジャニのチャンネルのバランスはラノベ並みにバランス良いなと感じながらもメンバー揃ったあたりから見てないレベルのあるある茶の間嵐オタクだ。
あるある茶の間オタクなので嵐のことはよく分からんけど周りが気になる10代だったのでMステを毎週チェックしてた影響でLove so sweetは擦り切れるくらい聞いていた。当時の貧乏小中学生の精一杯は当時リリースされた嵐のニューアルバムTimeをレンタルしてソニックステージ(時代)に取り込むことだった。
初めてCDをレンタルして親のPCに取り込んでCDに焼いてコンボボックスで再生という経験を経て、当時の私は勉強中にTimeをひたすら流していた。シャッフルという知識を知らなかったので毎回馬鹿正直に1トラック目から再生していたので、目当てでレンタルしたLove so sweetよりもoh yeahを聞いていた。
嵐がサブスクしたおかげで今これを書きながらサブスクのTimeを垂れ流しながら聴いてる。(当時のデータはソニックステージに取り残されている)今となってはアルバムを取り込んでもシャッフルで再生してしまうのだが、あらためてTimeを垂れ流していると、曲と曲の繋がりが(勝手に)印象付いているんだなと感じた。Timeなら曲順明かされなくても1人メドレーできると思う。曲が進むたびに10数年前を思い出して泣いてる。
最初自分より10も下のアイドルを応援するようになって歳を取ったことを実感したり、今は名前が売れている人々は自分の推しの年齢の時点で既にデビューしていると知って衝撃を受けたり、自分は若い方だと思っていたけど確実に歳を取っていると感じることが多くなった。あれだけ夢中になって何度も繰り返し再生したTimeももう15年前の作品になろうとしている。youtubeやsnsが発達した今このような経験をする若者はいないのだろうなと思う。でも私が嵐のファンではないのに嵐の曲を聞いて涙を流してるように、私の推しが誰かの思い出として涙を流すような存在になるのならアイドルオタク冥利に尽きるなと思う。
自分が古いオタクなんだろうなと思った。今はビジュアルだカメラパフォーマンスだと言われるが私はやっぱりアイドルがあって、アイドルがあって、アルバムがすきだ。
正直15年近く経ってTimeのコンセプトは今アイドルオタクになった今よくわからない、あまりすきではない曲もある、が、アルバムを通して聴くと愛おしくて思い出深い曲だとかんじる。
高齢者向けのワクチン予約サイトがなかなか混雑して苦労するらしい。高齢親に頼まれたので、予約開始前に操作手順を確認してみた。
接種券番号と氏名が印字された接種券が郵送で届くので、予約サイトにアクセスしてみる。URLはこんなかんじ。
ttps://vaccines.sciseed.jp/(自治体名)/
フローはだいたいこんなかんじ。UIはまあ普通の予約サイトなかんじ。
3.初期パスワードを変更
5.接種会場検索→希望日時を選択→予約完了(予約開始前なので未確認)
そしていくつかトラップがあるようだ。
1.初期パスワードは生年月日(西暦)の数字8文字。誕生日を和暦でしか覚えてないと詰む。
2.メールアドレスの認証処理がなく、どのメールアドレスでも登録可能な模様。ここだけガバガバな理由は不明。
3.パスワードリマインダーが実装されていないようなので、失念したら詰む。多分電話しないとダメ。
そしてどうやら1.から3.までは予約当日より前に設定可能で、当日はログインして4.マイページで待機していれば進めるようだ。そんなのどこにも書いてない。
推測だけど、各自治体のサイトが混雑でつながらないっての、1.2.3.を当日朝によーいドンでやってるからではないかと。そりゃ混雑するのでは。
選挙投票所方式で「mmddのHHmm-HHmmの間にXX会場に来てね、予定が合わない場合は連絡してね」で十分で、混雑したら空間をとって一人ずつ入場させればすむだろうに。
必要なところにリソースが投入されてなくて、コネとしがらみでどうでもいいところにカネが動いてるのだろうなと想像させる作りだった。
