システムのセキュリティに詳しい方〜 飛行機のチケット使わなかったときのチケット費用補償保険／旅行キャ

システムのセキュリティに詳しい方〜

飛行機のチケット使わなかったときのチケット費用補償保険／旅行キャンセル費用補償保険に加入しました。

【システム概要】
飛行機の席の券1枚毎（予約ごと）にアカウントが払い出され、メールにより認証に使うID/PWが送られてきます。
アカウントには名前、住所、口座番号、電話番号、購入した券の予約時間等の情報が保存されています。
ID/PWとCAPTCHA認証により、ログインできます。
IDは規則性あり。
認証に連続失敗したときのアカウントロック機能はありません。
アカウントは3年間ログイン可能。
セッションタイムアウト機能もないです。

【質問】
セキュリティ的に、ゆるくないですか??
保存されている情報の漏洩などを心配しています。

質問者からの補足コメント

• https通信ですが、メールで送られてくるIDとPWは、変更不可です。
  3年間アカウントは保持されるとのことです。

    補足日時：2022/04/06 13:08

No.1 回答者： zircon3 回答日時： 2022/04/06 10:20

通信プロトコルはhttpではなくhttpsでしょう。

で、その場合に使用している電子証明書の作成者（社）がきちんとした会社であれば通信の秘匿性に関する問題はないでしょう。
あとは設定されているパスワードの内容ですね。
12文字程度、半角英数字（大文字英字を含む）と一定範囲の記号が使えているならあとは設定者が記号文字も入れた8文字以上のものとしていればそうそう破られる心配はありません。
キャプチャー認証を採用しているなら「プログラムではなく人が操作している」ことをかなりの確度で確認できる仕組みとなっていると判断できますし。

セッションのタイムアウトが無いことに関してはそもそも「タイムアウトの検出がセキュリティー維持に効果がある内容のサイトか？」というのがありますので何とも言えません。
ログイン後の画面のURLをブラウザ側でブックマークし、ブラウザの再起動後にそのブックマークを呼び出した場合にちゃんと「ログインしてください」といったエラー画面になるのであれば、とりあえず不正使用を防ぐセッション管理処置がされているということになります。

参考まで。

この回答へのお礼

IDは規則性がありそうで、PWは英文字と記号ですが、変更不可なので、ブルートフォースでいつか開けれると思います。
何らかでPWが漏れたとき、PWの変更が不可です。

お礼日時：2022/04/06 13:11