読者です 読者をやめる 読者になる 読者になる

トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

ANAマイレージクラブのパスワード導入記念に航空会社のパスワードについて調べてみました

読み物 パスワード 対策

ついに!ANAマイレージクラブのログイン認証が4桁の数字から8〜16桁の英数字に変更されます!!!

2014年12月3日(水)までが移行期間、2014年12月4日(木)からパスワード必須となります。
これを記念して、世界の航空会社のマイレージプログラムがどんなパスワードを使っているかまとめてみました。割と大変でした!

以下の様な条件で、各航空会社のマイレージプログラムの登録ページやFAQなどにパスワードのルールに関する記載を探し、それをもとに表を作りました。

  1. 最初に日本語のサイトを確認
  2. 日本語のサイトが存在しない場合、(国を選べる場合は)日本の英語サイト→(国を選べる場合は)アメリカの英語のサイト→その航空会社の国の英語サイトの順
  3. 実際に登録はしていないため、登録ページやFAQなどにぱっと見情報がないものは掲載していません

以前「個人が使うWebサービスのパスワード管理について、現状を整理し、結局どうするのがいいのか考えてみる」でも参照したIPA 独立行政法人 情報処理推進機構:情報漏えいを防ぐためのモバイルデバイス等設定マニュアルから、強度が十分なパスワード(=ブルートフォース攻撃でのパスワード破りが現実的でないパスワード)の文字種と文字数を「大小英字+数字、12文字以上」として、合格している航空会社は緑字にしてみました(最長何文字か書かれていない場合は除外)。逆に、数字のみのところは赤字にしました。
数が多いのでアライアンスごとに分けてます。

スターアライアンス加盟会社

航空会社名 記号 文字数
全日本空輸 日本 8〜16
エバー航空 香港 6〜8
シンガポール航空 シンガポール 6
タイ国際航空 タイ 8
トルコ航空 トルコ 6
ルフトハンザドイツ航空*1 ドイツ 4〜16
スカンジナビア航空 北欧3カ国 6〜12
オーストリア航空 オーストリア 10〜40
南アフリカ航空 南アフリカ共和国 4
ユナイテッド航空 アメリカ 8〜32
エア・カナダ カナダ 6〜10
アビアンカ航空 コロンビア 不明

ワンワールド加盟会社

航空会社名 記号 文字数
日本航空 日本 6
キャセイ・パシフィック航空 香港 6〜8
スリランカ航空 スリランカ 8
フィンランド航空 フィンランド 8〜32
ブリティッシュ・エアウェイズ イギリス 6〜
エア・ベルリン ドイツ ◯(大) 6〜22
イベリア航空 スペイン 6
S7航空 ロシア ◯? 6〜
カタール航空 カタール 6〜12
アメリカン航空 アメリカ ◯? ◯? 6〜12
ラン航空 チリ 6〜

スカイチーム加盟会社

航空会社名 記号 文字数
大韓航空 韓国 8〜20
中国南方航空 中国 6〜10
チャイナエアライン 中国 6〜8
ベトナム航空 ベトナム ◯? 〜8
エールフランス航空*2 フランス 4
チェコ航空 チェコ 5〜10
アエロフロート・ロシア航空 ロシア 8〜
サウディア サウジアラビア 4
デルタ航空 アメリカ 6〜20
アエロメヒコ航空 メキシコ 7〜
アルゼンチン航空 アルゼンチン 6〜8

アメリカの雄、ユナイテッドとデルタ

さすがアメリカ、2大航空会社であるユナイテッド航空デルタ航空、どちらも合格です。

ユナイテッド航空

登録ページにはこんな記載が。

パスワードは、8文字以上32文字以下の長さにしてください。パスワードには、英字と数字がそれぞれ1字以上含まれている必要があります。標準的な特殊文字(「!」、「&」、「+」など)はパスワードに含めることができます。

記号も使えて非常に強固なパスワードを設定することができますが、実は4桁のPINコードがデフォルトでユーザ名とパスワードはオプションです。
恐らく、マイレージのカードを作るときにPINコードを登録する必要があり、マイレージの番号とPINコードでもログイン可能なんでしょうね。で、心配な人はあとからそっちでユーザ名とパスワードを設定してね、ってことなのかなと。

デルタ航空

実はnekotricolorのメインのマイレージはデルタなんですよ。ここも長いこと数字のみのPINコードだったのが、ある日パスワードもOKになって喜んだ覚えがあります。
登録ページの記載は以下。

Delta.com では、暗証番号(PIN)からパスワードの使用へと移行いたしました。 会員口座のパスワードを登録してください。
パスワードの必要条件:
長さは 6~20 文字にします
スカイマイル会員番号、Eメールアドレス、またはユーザーネームと同一でないこと
特殊文字または英語以外の文字は使用できません

会員番号やユーザ名は使っちゃダメよと書いてあるのも良心的ですね。ただ残念ながら記号は使えません。
この書き方だと数字もダメなの?と思っちゃいますが、英数字いけます。

ちなみにアメリカン航空

Your password is case sensitive and must be 6 -12 characters.

とあるだけでどの文字種が使えるのか分かりませんでした。まぁ英数字なんだと思いますが・・。

記号が使えるのは2社のみ

ユナイテッド航空エア・ベルリンです。
S7航空はパスワードの条件が「文字数6文字以上で、2文字以上異なる文字があること」になっていてその条件を満たさないとその場でエラーが表示されるようになっているのですが、記号を入力してみてもエラーが出なかったので使えるかもしれません。

ユナイテッドはさっき書いたのでいいとして、エア・ベルリン、記号が使えるのは結構なことなのですが、

Your password may be 6-22 characters in length. Passwords are case sensitive. The following characters maybe used in any combination: 0-9 A-Z . _ : # * - + ! " $ % & / ( ) = ?

という記載があり、どうも英字が大文字のみっぽいんですよね。こうなると、0-9A-Z 36種+記号17種で53種、大小英字+数字62種より弱くなります。まあそれでも12文字以上設定できるので合格ではある。

数字のみの会社だけ集めてみました

航空会社名 桁数
日本航空 日本 6
中国南方航空 中国 6〜10
シンガポール航空 シンガポール 6
トルコ航空 トルコ 6
チェコ航空 チェコ 5〜10
イベリア航空 スペイン 6
エールフランス航空(フライング・ブルー) フランス 4
サウディア サウジアラビア 4
南アフリカ航空 南アフリカ共和国 4

なぜ今どき数字のみのパスワードなのか不思議だったんですが、どうも「電話での照会に使われるPINコードと同じだから」ということみたいですね。電話は当然番号しか入力できないので英字を許可できないと。

となると、JALの「生年月日で二段階認証」という斬新なアイディアもうなずける。いやうなずけない。あれはWeb上だけよね多分。

なお、数字のみだと、4文字でも8文字でも12文字でもブルートフォースで一瞬で破られてしまいます。実際にはユーザIDとセットだし、「◯回パスワードを間違えたら◯時間ログインできない」みたいなロックアウト機能もあるわけですが、それにしても弱すぎる。

まとめ

意外と数字のみというところもまだまだあるんだなあという印象でした。Webが一般的になる前からマイレージはあった、ということなんですかねぇ。と思って「マイレージサービス - Wikipedia」を見てみたら、マイレージサービスはアメリカン航空が1981年5月1日に始めたんだそうです。古いんだなあ。
国内でマイレージサービスが本格化したのは1997年。まだ電話でのリコンファームが必要だった時代ですね。

まあ、貯めたマイルでできることが、電話で「本人名義の航空券を買う」「本人名義の航空券をアップグレード」くらいだった時代は4桁のPINコードでも十分だったかもしれませんが、Webだと

  • 登録した個人情報をWeb上で全部照会できる
  • パスワードの破られやすさが電話と段違い(ネット上にツールが転がってる)

な上に、最近はAmazonギフト券みたいな換金性の高いものに貯めたマイルを変えられたりするわけで、やっぱり強化しないとダメだと思うんですよ。ちなみに数字4桁のフライング・ブルーはマイルで買い物ができるようです。iPad Airとか売ってる。決済時に別の認証が入るようになっているのかもしれませんが、大丈夫なのかな。

システム的には、数字のみのところを英数字にするのってそれほど難しくないのでは?と思っていたのですが、電話しかなかった時代に作ったシステムとリンクしてるとすると大々的なシステムの改変が必要なのかもしれません。そうなると当分変わらないかもしれないねぇ。だったらとりあえず32文字くらいまでOKってことにして欲しいなあ。もしくは、貯めたマイルを使ってできるサービスを事前に選択できるようにしておくとか。

あとこれ調べててものすごく思ったのは、「お前らなんの文字種で何文字OKなのかハッキリ書いとけよ」ということでした。
前述のアメリカン航空S7航空もそうだし、その他にもベトナム航空は「最大8桁まで」のみだし、シンガポール航空大韓航空は何も書いておらず入力したときに表示されるエラーで判別したし。

最後に一言

パスワードに関しては、以前頑張って書いた「個人が使うWebサービスのパスワード管理について、現状を整理し、結局どうするのがいいのか考えてみる」というエントリもあるのでご一読いただければと思います。

あと、JALさん、お願いですから英数字のパスワードの導入を!!!

2015/12/15追記
2015年9月29日、JALマイレージバンクはパスワードを導入しました。その記念に、Twitterでパスワードについて言及しているツイートを日本語英語それぞれ収集して、頻出単語を割り出してどういう傾向があるかを調べてみました。