おもしろ

iDeCoのページにログインできず、コールセンターに連絡したら「システム改定でパスワードを15桁までにしたので、15桁まで削ってログインして」と言われた→「意味が分かるとめちゃ怖い話では?」のツッコミが相次ぐ

1: ka-ka_xyz 2026/07/02 19:01

「平文保存ではない可能性もある」って、一方通行のハッシュ値ではなく復号可能な形で保存してたら根本的なヤバさは変わらん……

2: frothmouth 2026/07/02 19:02

“※平文保存ではない可能性もある”

3: nguyen-oi 2026/07/02 19:12

20桁のパスワードを15桁に切り詰めればログインできるとか平文保存か可逆暗号確定だろ。金融機関のシステムとしてセキュリティのガバガバさ加減がホラーすぎる

4: cardmics 2026/07/02 19:15

iDecoのページにログイン…ってどこの証券会社?それがわからんと対策のしようがない。 / クレジットカードでいうところの「Visaで払った」くらい、責任の所在がよくわからないやつ。

5: psne 2026/07/02 19:19

問い合わせをして「パスワードは〇〇です」と返って来るまでは、15文字にカットして登録されているのか分からないやつ。後から仕様変更ならとても危ない

6: inforeg 2026/07/02 19:30

削るという発想が・・・

7: sgo2 2026/07/02 19:38

従来は先頭15文字でハッシュ値を計算していたのが、全文で計算するように変更された可能性が有り、その場合はセキュリティ的な問題は無い。AmazonかGoogleがこのパターンでやらかした記憶

8: ykhmfst2012 2026/07/02 19:51

15桁に制限、20桁では弾かれる、15桁に削ったらOK。15桁上限なのに一体何文字まで受け付けているのか。平文保存が疑われる開発チームなら無制限でもおかしくない。入力画面自体が脆弱性かも。

9: ssuguru 2026/07/02 19:53

パスワードは記号とか数字を混ぜなくてもいいからとにかく長くすべしというのが今の考えじゃなかった?

10: umaemong 2026/07/02 20:06

残念ながら、パスワードが平文で保存されてるシステムなんてザラにあるのが現実。長さや文字に過剰な制限がある場合、恐らく平文保存されてる。自衛しましょう。

11: homarara 2026/07/02 20:07

透過的暗号化で流出対策している可能性もあるが、まあ、SQL打てる立場の人には見えてしまう状態であった事はほぼ間違いないか。

12: wxitizi 2026/07/02 20:35

元々15字より先は切り捨てて扱っていたのに、切り捨てなくなったとか?

13: campanella 2026/07/02 20:42

某大手ファション通販みたいにフォームでトリミングしたりしなかったり挙動が一致しないから、ログインにつまずくサービスもあるから。挙動としては同じで、登録時のパスワードを削るとログインできる。

14: canadie 2026/07/02 20:46

可能性として無理やり考えたところ、5文字ずつ4つのハッシュ(5x4=20)で突合してて、4つ目の検証をやめて、16文字以上の入力を一律エラーとしたんなら辻褄は合う。逆にいうとハッシュ化してた可能性はめちゃくちゃ低い

15: butyricacid 2026/07/02 20:57

「パスワードの問い合わせにはパスワードを返答する」という要件があって、開発側はセキュリティ上問題があることを説明するんだけど理解してもらえなくて仕方なく平文保存になる、というのがかつてはありがちだった

16: tail_furry 2026/07/02 21:18

20桁の文字列を暗号化しているものをVARCHAR(128)ぐらいで保存しているはずなのに、それを複合化したものから15字分入れろって意味なくない?

17: nack1024 2026/07/02 21:29

それで通るってどういう運用?

18: ko2inte8cu 2026/07/02 21:39

大丈夫、平文じゃなくて、シャーロックホームズに出てくる踊る人形だから、ダイジョブ

19: mr_mayama 2026/07/02 21:53

=平文保存かぁ~やってんなぁ

20: perl-o-pal 2026/07/02 21:54

googleやappleだってパスワードマネージャーで復号可能な保存しているんだからうちだって平気やろーの精神。

21: sqrt 2026/07/02 21:58

途中のリプにもあるけど、元々先頭15字しか見てなかったんやろ。昔のハッシュ関数ライブラリは先頭n字しか使わなくて残りをサイレントに捨てる仕様のやつが良くあった(今は知らん)

22: ikebukuro3 2026/07/02 21:59

システム改定まで平文で保存してて、システム改定時に15桁で削ってハッシュ化したとかはあり得る。改定までは平文保存でも今はどうなのかはわからんけどな。

23: shoh8 2026/07/02 21:59

15文字の入力制御がある時に、15文字以上「入力したつもり」で登録していて、なにかの改修で入力制御が効かなくなり、15文字以上「入力できるようになった」とか /ブラウザ変えるとログインできない時に似た経験した

24: sisya 2026/07/02 22:14

平文で保存してない可能性を無理矢理考えると、以前は内部的に15文字にカットしてから照合していたが、それだと一致するパターンがいくつもあることになるので、15文字以上は無条件ではじくように変更した。とかか。

25: koseki 2026/07/02 22:15

まず15桁のハッシュを追加して、1年後とかに長い方のハッシュを消すんだよ

26: abababababababa 2026/07/02 22:17

うわぁ

27: cl-gaku 2026/07/02 22:40

内部で15文字でちょん切ってハッシュ化の可能性もゼロではないが…

28: htnmiki 2026/07/02 22:57

三井住友カードもかつて16桁から8桁に変更されたことがあったな

29: Goldenduck 2026/07/02 23:15

わざわざ改修するからには今更15桁に制限する必要が出てきたわけだが何があったんだよ

30: kirarapoo 2026/07/02 23:18

先頭15文字でハッシュしてたなら20文字入力してもログインてきるのでは

31: BlueSkyDetector 2026/07/02 23:39

ブコメで挙げられている5文字ずつ細切れにハッシュ化する手法だったとしても、それだけ短いと簡単にレインボーテーブルが作れてしまうからどちらにしてもヤバい

32: Adeptus 2026/07/02 23:46

ユーザーログインで人力されるパスワード文字列を使って別DBにハッシュを再構築する移行プラクティスは存在する。"cognito lambda段階的移行"で検索。

33: everybodyelse 2026/07/02 23:46

そういや昔suicaのサイトでも同じことあったな。いや、あれは登録側が切ってただけか?