2005年12月 6日
ログイン不能の件で問い合わせてみたら…
勤務先の会社は某大手ネット広告企業と契約しております。
本来ならマメに単価の管理などをしないといけないのですが、あまり熱心にやっているとは言いがたい状況です。
そんな中、久々に管理画面に入ろうとしたら入れなくなってしまったとか。ユーザー名もパスワードも、画面に出てくるセキュリティコードも間違いなく入れているのに…。
例によってまた私のところに質問が回ってきたので、試してみたけれどやっぱりダメ。リマインダーを見てみたら、ある社員の娘さんの名前が出てきましたが、彼女の誕生日がらみのパスワードにしてみてもダメ。だいたい、そんなリマインダーを作った人も見当たりません。
FAQを見ても、「ユーザー名、パスワードは間違っていませんか?」しか出ていませんし。
何はともあれ、とりあえずは問い合わせてくれ、ということなので、サポートに電話してみました。
出たのは若い女性。
状況を簡単に説明すると、10桁のアカウントコードを聞かれました。たぶん、残高不足でログイン不能を疑ったのでしょう。一瞬私もそうなんじゃないかと思いました。
しばらくして、さっきの女性が不審そうな声で「お客様、パスワードやユーザー名は間違いなく入力なさっているんですよね」「半角全角、大文字小文字の間違いなどはありませんよね」「セキュリティコードも入力されているんですよね」と一通り確認した後「でしたら、こちらでパスワードをユーザー名と同一に設定することは可能なんですが、そういたしましょうか」と言ってきます。
どうやらログインできない原因は残高不足ではなく、向こうにもわからない様子。
こちらは渡りに船なので、上司の許可を得て、それをお願いし、すぐにその場でパスワードの変更をしてもらいました。この時、電話口でユーザー名は確認されました。
そして、その場でログイン可能なことを確認し、電話を切ってから、再度パスワードを変更しました。
めでたしめでたし。
……。
何か変です。こんなにすんなり行っていいんでしょうか。
この電話で、私は最初に会社名を名乗りましたが自分自身は名乗っていません。その後、向こうから聞かれたのは「アカウントコード」と「ユーザー名」のみ。
普通、パスワードの再発行って、厳重な本人確認がある上に、メールや電話で教えてくれることはなく、後日郵送という形になってしまうものです。
なのに、改めて社名も、担当者名も、住所も電話番号も確認しないで、その場でパスワードを変更してくれるのって、いくらなんでも安易過ぎませんか。
今回こちらはたまたま正直に自分たちの情報を問い合わせたわけですが、この感じだと、アカウントコードさえ入手すれば、簡単に管理画面に入るパスワードを変更できてしまうことになります。危機意識、なさすぎです。
入れた管理画面を見たところでは、幸い何か悪意を持った操作をされた形跡はないようだったので助かりましたが、こうなるとログインできなくなってしまった原因もちょっと気になります。
その会社は本当に大手なので、相当多くのユーザーがいるはずです。そんな会社のパスワード管理がこんなに適当でいいのかなー?、と疑問に思った出来事でした。
コメントする
※コメントについて
どなたでもコメントいただけますが、スパム防止のため、メールアドレスを必須とさせていただいています。(ダミー可)
cookie取得が不調のため、サインインしていただけると幸いです。各種IDをお持ちでなくても、このブログに登録することができます。(「サインイン」を選んで「サインアップ」してください。)
なお、サインインしてもお名前等入力欄が表示されますが、空欄にしておいてください。