アカウント名:
パスワード:
なんでPINコードなんだよ。> 機種変更時に電話番号が変わる場合は、事前に設定しておかなければログインできないので注意が必要だ。http://official-blog.line.me/ja/archives/1006009191.html [official-blog.line.me] より> ※事前にPINコードを設定せずに、違う電話番号の端末に機種変更した場合、旧端末の電話番号の下4桁がPINコードの代わりになります。実装がバカすぎる。このレベルでセキュリティを強化したと言えるのがバカ。それを報道で指摘しないのもバカ。間違った情報を載せるのもバカ。
まったくだ。パスワードに数字4桁足すのと変わらないよコレ。
どうにか擁護してみると、電話番号で判断するリスクベース認証、と言えなくもないが…いや、それでもそういう時は「事前に登録した」PINじゃダメだ。ワンタイムにしないと。
ワンタイムパスワードっていったって、そのパスワードをどうやって発行するのさ。事前発行は現実的でないだろ。
それに4桁あれば十分かもしれないよ。4桁分、力技で攻撃した場合、回数によって遮断するようにしているかもしれない。まあ、どうせなら090/080 * 8桁の方がさらによいとは思うが。
Googleみたいにタイムベースでいいじゃん。
Googleみたいにタイムベースって何?旧端末がなくても大丈夫なの?
Googleの2段階認証ね。1分ごとにコードが生成されるアレ。使ってないの?やばいよ?https://www.google.co.jp/intl/ja/landing/2step/ [google.co.jp]もし端末なくしても登録時に10通りのパスワードをもらってるはずだから、そちらで動かせる。
もし端末なくしても登録時に10通りのパスワードをもらってるはずだから、そちらで動かせる。
よく考えられているね。毎回、携帯で認証なんて面倒じゃないかと思ってたけど、一度、登録したPCでは確認コードはいらないようにもできる [google.co.jp]んだね。
電話番号をPINにするのに比べて劣っている点があるとすれば、LINEユーザが
もし端末なくしても登録時に10通りのパスワードをもらってるはずだから
パスワードをメモってくれるか心もとないところだなあ。
今回は、わざわざ「4桁」って、暗証番号の収集の為、なんだから実装やセキュリティなんてどうでもいいんだよ。何%かは、銀行の暗証番号と同じにするだろう。
少し前に、「今までメールアドレス登録&パスワード設定をしたことが無く、今回初めて設定する方も本スタンプをダウンロードできます」と、PCからアクセスする必要がない人にも、メールアドレスの登録させてメールアドレス収集してるんだから。
One Time Passwordに対応できないならせめてOpen IDにすれば良いのに。。
OTP導入しようにも、ほとんどの場合、そのOTP使う機器とLINE使う機器が同一なんだから、耐タンパ性に難があるだろLINEごときの為にトークン持つのも面倒とはいえ、その結果が4桁PINコードってのは冗談としか思えないレベル
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
普通ワンタイムパスワードにするだろ (スコア:5, すばらしい洞察)
なんでPINコードなんだよ。
> 機種変更時に電話番号が変わる場合は、事前に設定しておかなければログインできないので注意が必要だ。
http://official-blog.line.me/ja/archives/1006009191.html [official-blog.line.me] より
> ※事前にPINコードを設定せずに、違う電話番号の端末に機種変更した場合、旧端末の電話番号の下4桁がPINコードの代わりになります。
実装がバカすぎる。このレベルでセキュリティを強化したと言えるのがバカ。それを報道で指摘しないのもバカ。間違った情報を載せるのもバカ。
Re:普通ワンタイムパスワードにするだろ (スコア:1)
まったくだ。
パスワードに数字4桁足すのと変わらないよコレ。
どうにか擁護してみると、
電話番号で判断するリスクベース認証、と言えなくもないが…
いや、それでもそういう時は「事前に登録した」PINじゃダメだ。
ワンタイムにしないと。
Re:普通ワンタイムパスワードにするだろ (スコア:1)
ワンタイムパスワードっていったって、そのパスワードをどうやって発行するのさ。
事前発行は現実的でないだろ。
それに4桁あれば十分かもしれないよ。
4桁分、力技で攻撃した場合、回数によって遮断するようにしているかもしれない。
まあ、どうせなら090/080 * 8桁の方がさらによいとは思うが。
Re: (スコア:0)
Googleみたいにタイムベースでいいじゃん。
Re: (スコア:0)
Googleみたいにタイムベースって何?
旧端末がなくても大丈夫なの?
Re: (スコア:0)
Googleの2段階認証ね。1分ごとにコードが生成されるアレ。使ってないの?やばいよ?
https://www.google.co.jp/intl/ja/landing/2step/ [google.co.jp]
もし端末なくしても登録時に10通りのパスワードをもらってるはずだから、そちらで動かせる。
Re: (スコア:0)
もし端末なくしても登録時に10通りのパスワードをもらってるはずだから、そちらで動かせる。
よく考えられているね。
毎回、携帯で認証なんて面倒じゃないかと思ってたけど、一度、登録したPCでは確認コードはいらないようにもできる [google.co.jp]んだね。
電話番号をPINにするのに比べて劣っている点があるとすれば、LINEユーザが
もし端末なくしても登録時に10通りのパスワードをもらってるはずだから
パスワードをメモってくれるか心もとないところだなあ。
Re: (スコア:0)
今回は、わざわざ「4桁」って、暗証番号の収集の為、なんだから実装やセキュリティなんてどうでもいいんだよ。
何%かは、銀行の暗証番号と同じにするだろう。
少し前に、「今までメールアドレス登録&パスワード設定をしたことが無く、今回初めて設定する方も本スタンプをダウンロードできます」
と、PCからアクセスする必要がない人にも、メールアドレスの登録させてメールアドレス収集してるんだから。
Re: (スコア:0)
One Time Passwordに対応できないなら
せめてOpen IDにすれば良いのに。。
Re: (スコア:0)
OTP導入しようにも、ほとんどの場合、そのOTP使う機器とLINE使う機器が同一なんだから、耐タンパ性に難があるだろ
LINEごときの為にトークン持つのも面倒
とはいえ、その結果が4桁PINコードってのは冗談としか思えないレベル