パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Yahoo! JAPAN、ついに「秘密の質問」を廃止へ」記事へのコメント

  • by Anonymous Coward on 2021年05月13日 8時17分 (#4029699)

    しかも、ここは「秘密の質問」が良くないと言われ始めた頃に導入した(つまり割と最近)というズレっぷり。

    • by Anonymous Coward

      最近、JCBのカード作ったけど、最近導入だったんかい。
      JCBは未来、なさそう

      • by Anonymous Coward

        > JCBは未来、なさそう

        当時JCB THE CLASSのインビテーションを目指してがんばってJCBプロパーで決済していたけど、
        「秘密の質問」導入で呆れてしまって、以降はJCB GOLD THE PREMIERのサービス年会費が無料になる範囲でしか使ってない。

      • by Anonymous Coward

        JCBが潰れれば、ディズニーランドとシーでスポンサー降りることになって園内でPayPay使えるようになるだろうな
        JCBのアプリやクレカ内で電子マネー使うようにできないなら、不便すぎるんだわ

        • by Anonymous Coward

          JCBが降りたら、スポーンサーでもありオーナー(社員)でもある三井住友系の VISA が幅をきかせるだけでは?

          • by Anonymous Coward

            すっぽんぽんさー?(難聴

      • by Anonymous Coward

        プロパーカードでのJCB Contactlessと、非FelicaスマホでのGoogle Payマダー。

    • by Anonymous Coward

      あれ、オンライン決済の時にやられると非常に迷惑だよね。

    • by Anonymous Coward

      関連リンクにあるJCBプリペイドの件 [security.srad.jp]もまだ修正されてないですからね

    • セキュリティの専門家から脆弱だと指摘されているのは、パスワードの代替としての「秘密の質問」(パスワードリセット用)です。
      JCBの「秘密の質問」は、IDとパスワードでログインした後に聞かれるので、多要素目的としての正しい実装です。

      何をもって多要素というのかは実は曖昧なのですが、どの主要ブラウザもパスワードをブラウザに保存できるようになっているので、パスワード自体は今はもう「所持情報」と同義になっているのではないでしょうか。
      それに加えて、「知識情報」を加えるというのは正しいです。

      スマホ落とすかもしれないし、リスト型攻撃でIDとパスワードがクラックされるかもしれませんからね。
      ログインのたびにSMSやTOTPやるのはやりすぎだし、現実的にはまともな対策かと思います。

      • by Anonymous Coward

        秘密の認証が無数に用意されてるならともかく、3つ程度ならロガーに3つ分記録されてしまえば
        終わりなので知識情報とは言えない。
        銀行でよくある「番号表」の強度すら保てていない。

        単にめんどくさいだけで意味ないのに「セキュリティ保ってる気分」になるのでむしろ有害。
        ネット系銀行ならSMSもTOTPも今となっては常識だし素直にこっちでいい。

身近な人の偉大さは半減する -- あるアレゲ人

処理中...