コンテンツにスキップ

英文维基 | 中文维基 | 日文维基 | 草榴社区

Wikipedia:井戸端/subj/パスワード流出時の対処のルール

パスワード流出時の対処のルール

[編集]

Wikipedia:コメント依頼/CHANCE TOで、CHANCE TOさんが悪意あるユーザーの策略によってパスワードを公開してしまうという事件があったようです。その利用者の会話ページでMiraburuさんという方が、新アカウント作成を勧めているようなのですが、投稿記録を見ると「柏尾菓子がCHANCE TO を無期限ブロック(アカウント作成も禁止)」と書いてあり、ルール違反のようにも考えられます。アカウントが既に乗っ取られているとする見方もあるようです。自分のアカウントのパスワードが流出し、アカウントがブロックされた場合の措置は何が最善なのでしょうか。

「お前には関係ないだろ」と言われればそれまでなのですが、自分は引っかからないと思っていても特殊詐欺に引っかかることもあるようですし、万一自分がそうなったらどう対処すべきなのかを質問した次第です。(杉下右京のように細かいことが気になるもので。)--西之端会話2023年7月30日 (日) 00:00 (UTC)[返信]

コメント - CHANCE TOさんに関してですが、「Wikipedia:削除依頼/過剰なカテゴリ群20230726」など今回の件以前からその行動については他の利用者から問題を指摘されていました。なお当削除依頼に関しては、私がノートページで説明しましたところ、概ね納得して下さったようだったので、WP:IDIDNTHEARTHATに該当するようなコミュニティを消耗させる明かな悪意のある利用者ではないのかなと思います。ただ、方針等の理解については大きな課題があると感じていました。
CHANCE TOさんが意図せずに、もしくは状況を理解できないままパスワードを公開してしまったのは残念で気の毒ですが、一方でそのような危機管理意識でウィキペディア日本語版への参加が許されるべきとは思いません。
もし過去に類似の事例がありましたら、それをご存じの利用者さんからも話を聞きたいです。--有筆会話投稿記録 2023年7月30日 (日) 02:09 (UTC)[返信]
コメント Wikipedia:多重アカウント#適正な使用(多重アカウント使用が認められる行為)にはこのように解説されています。

危うくなったアカウント(Compromised accounts): 今あるアカウントのパスワードをなくした場合、あるいは他人に乗っ取られたかパスワードを推測された(またはその恐れがある)場合、新しいパスワードで新しいアカウントを作るのがよいかもしれません。そのような場合、両方の利用者ページに同一人物のアカウントであることを書き、古いほうのアカウントは管理者に頼んでブロックしてもらうこともかまいません。英語版では、このようなまれな状況が生じないように、まえもってen:WP:Committed identityを利用しておくことが提案されています。

Wikipedia:多重アカウント 2023年4月11日 (火) 10:07(UTC)の版より

パスワードを公開したということは、そのアカウントでログインするCHANCE TOさんとは別の「中の人」が現れる可能性があることを意味し、記事の著作権でいう履歴継承の分断はもとより、ノートページにおける議論攪乱に利用されてしまう恐れもあるため、ウィキペディアが健全な運営をしていくためには当該アカウントの投稿ブロックは必然です。ですから、解除依頼をしたところでアカウントのブロックを解除して元に戻すことは、まず不可能ですよね。本件は非常にまれなケースだと思われますが、「他人にだまされてパスワード公開した」ことが事実として証明できれば、別アカウントでクリーンスタートできる救済措置があってもいいのかなとは個人的に思います。証明自体がかなり難しいのかもしれませんが。--小石川人晃会話2023年7月30日 (日) 02:45 (UTC)[返信]
  • たしかに、自分にまったく落ち度がなくとも、クラッキングなどでパソコン自体を乗っ取られることも有り得るので、その心配は杞憂ではありませんね。しかし、セキュリティ上の理由により、この種の理由でブロックされたアカウントのブロックが解除されることはないでしょうから、基本的には、Wikipedia:多重アカウント#適正な使用(多重アカウント使用が認められる行為)の「危うくなったアカウント」にあるように、新しいアカウントを作成して元のアカウントと紐づけるくらいのことしかできないと思ます。
ただし、この種の事例の場合、アカウントが乗っ取られたからと言って、慌てて別アカウントを作成することはより深刻な事態を招きかねません。今回の事例でもあったように、別アカウントの偽物が乗っ取られたアカウントの持主である、と言って来たり、逆にアカウントを乗っ取った者がその別アカウントは偽物だと主張したり、というややこしい事態に陥ることもあります。第三者から見ればどちらが正しいのか見分けられないし、パソコン乗っ取りなどであれば、チェックユーザーであっても真偽の断定はできないでしょう。ですから、慌てて別アカウントを作成する前に十分な根回しと準備が必要です。
このような場合にはまず、管理者などの信頼できる第三者に対して、自分が本来のアカウントの持主であることを証明した上で、こういう名前で新しく別アカウントを作成するので万一の時にはこれが本来のアカウントの持主による別アカウントであることを証言して欲しい、とメールなどで依頼しておくのがよいでしょう。
自分が本来のアカウントの持主であることを証明するためのツールとしてはTemplate:Committed identityというものがあります。これは(ツールの説明書を見てもらった方が早いのですが)自分だけが知っている秘密の文字列から、あるアルゴリズムで暗号化された文字列を作成し、その暗号化された文字列を自分の利用者ページに貼り付けておくものです。万一の時には、自分が本来のアカウントの持主であることを証明したい相手に、その秘密の文字列を教えます。相手はその文字列を同じアルゴリズムで暗号化し、利用者ページに貼ってある文字列と同じ文字列が得られれば、確かに本来のアカウントの持主であると判断できます。トリップ (電子掲示板)に似たようなもの、と言えばわかりやすいでしょうか。
言うまでもなく、ブロックされてから慌ててTemplate:Committed identityを利用しようとしても手遅れです。これは万一の場合に備えた事前の予防策として準備しておかなければなりません。
なお、ブロック記録の「柏尾菓子がCHANCE TO を無期限ブロック(アカウント作成も禁止)」における(アカウント作成も禁止)とは、ブロックされたアカウントにログインした状態で別のアカウントを作成することができないようにする、というブロックオプションによる機能の一つであって、ルールではありません。それを言うなら、そもそもブロックされた者が勝手に別アカウントを作成して活動すること自体がルール違反です。---Loasa会話2023年7月30日 (日) 03:13 (UTC)[返信]
  • 成程、皆様の書き込みを拝見させていただきましたが、パスワードを流出させてしまったら事実上、ジ・エンドのようですね・・・。Loasaさんのテンプレートの件ですが、仮に暗号を「1234」とした場合ですが、SHA512変換サイト[1]で変換すると、「d404559f602eab6fd602ac7680dacbfaadd13630335e951f097af3900e9de176b6db28512f2e000b9d04fba5133e8b1c6e8df59db3a8ab9d60be4b97cc9e81db」となるので、テンプレートのhash部分に「d404559f602eab6fd602ac7680dacbfaadd13630335e951f097af3900e9de176b6db28512f2e000b9d04fba5133e8b1c6e8df59db3a8ab9d60be4b97cc9e81db」を書いておけば良いということでしょうか。そして万一のブロック解除の際には「1234」を担当者に連絡すれば良いでしょうか。--西之端会話2023年7月30日 (日) 09:27 (UTC)[返信]
    • まあそういうことです。念のため付け加えておくと、このツールはあなたが本来のアカウントの所有者であることを証明するツールに過ぎず、あなたの言い分が正しいことを証明できるものではありません。管理者に対してこのツールでアカウントの持ち主であることを証明した上で「アカウントを乗っ取られてパスワードを公開されました」と訴えた場合、管理者は訴えてきた者がアカウントの本来の所有者であることは確認できますが、「アカウントを乗っ取られました」という言い分が正しいかどうかまでは確認できません。自分でパスワード公開しておいて、「乗っ取られた」などと嘘を言うLTAである可能性も考えられるからです(いくら荒らしでもそんなことをする者はいないだろう、と思うかもしれませんが、歪んだ承認欲求を持つLTAの中には、時としてそれと似たような自作自演をする者も存在します)。ですから、言い分を信用してもらうにはやはり普段の行動が大事です。普段から「誰かのソックパペットではないか」「目的外利用者ではないか」と疑われるような行動をしていると、いざというときに言い分をなかなか信用してもらえないでしょう。--Loasa会話2023年7月30日 (日) 15:18 (UTC)[返信]
パスワード流出時の対処自体については、やはり「他人にだまされてパスワード公開した」ことを証明する手立てをどうやるのか、騙した方・乗っ取った方も尋常でない才能の持ち主である可能性も無きにしも非ずで、仮に対処方法を構築してもそれを悪用する人間は必ず出現すると考えてよく、従前どおりに「パスワードが流出したら、そこでウィキペディアとのご縁は切れる」でいいのではないかと考えます。アカウントを乗っ取られたりパスワードを流出させられた「貢献したい方」にはお気の毒なのかもしれませんが、ネットの世界では相手と直接的に相対することは稀ですから素性なんて基本わかりませんし。
利用者:Syunsyunminmin会話 / 投稿記録氏の提案するやり方は、選択肢として残すことはありでしょう。ただしこれも、乗っ取られた方が冷静に行動できるかどうかにかかってきますが、例えばCHANCE TO氏がそれをちゃんとできるかどうかと言えば、過去の行動を鑑みるに正直確約はしづらいのかなとも。--Ogiyoshisan会話2023年8月1日 (火) 00:04 (UTC)[返信]
それを肯定してしまうのはやはり「お気の毒」といった次元ではなく、「不公正」の域の扱い方であるように思います。--Miraburu会話 / 投稿記録 2023年8月30日 (水) 18:21 (UTC)[返信]
名前が挙がっていたので手短にお返事します。まず、WP:ILLEGITにおいてブロック破りが禁止されている根拠は「方針はアカウントごとではなく、アカウントの使用者ごとに適用され」るという点です。そしてパスワード公開によるブロックは、アカウントそのものが安全でなくなったという危険性を回避するための「アカウントそのものに適用される」といった性質のブロックです。よってパスワード公開「のみ」に基づくブロックに関して、別アカウントの作成を提案する事はルール上の問題は存在しないと考えます。これは利用者‐会話:Arvin#ブロックの解除を申請いたします。など管理者さんも推奨なさっている対応です。なお、もちろんですが「他の問題行為+パスワード公開」などその他の問題行為が存在する場合は、そちらは「アカウントの使用者ごとに適用」されるため、別アカウントの作成は認められません。--Miraburu会話 / 投稿記録 2023年8月2日 (水) 02:57 (UTC)[返信]