パスワードを忘れた? アカウント作成

ヤフオク!、送り状の電話番号を「00-0000-0000」にするよう呼び掛け」記事へのコメント

  • by Anonymous Coward on 2022年07月01日 12時15分 (#4280800)

    数年前からパスワードレス認証への移行を強力に推し進めていたYahoo! JAPAN、現在はPayPayやYahoo!ショッピングでもパスワードレス認証が必須。

    問題なのは、これがパスワード認証にSMS認証やFIDO認証を追加する多要素認証ではなく、単要素認証から別の要素による単要素認証への移行でしかなかったこと。
    結果、リスト型攻撃によるアカウント乗っ取りリスクは大幅に減ったものの、SMSによるフィッシング詐欺に脆弱になったので、こんな注意喚起をする羽目になっている。
    もうね、アホかと。バカかと。

    ここに返信
    • by Anonymous Coward

      ヤフーはTOTPの2要素認証を実装していたにもかかわらず廃止して、わざわざSMSのみの単要素認証を強制するというアホ
      どういう力学でこういう決定になったのか興味あるわ

    • by Anonymous Coward

      ちなみにY!アカウント取得直後に、SMS認証からパスワード認証に変更すると
      いきなり一定期間ログインをブロックし、Premium登録を拒絶するという謎使用になってる。
      https://support.yahoo-net.jp/PccLogin/s/article/H000013567 [yahoo-net.jp]

      規約に基づいてなんでもありなのがYahoo!

      • by Anonymous Coward

        PayPay決済しなければ、パスワード認証のままYahoo!ショッピング使えるんじゃないかな。

        にY!アカウント取得直後に

        取得直後だから?
        決済する一瞬だけSMS認証に切り替えて、すぐにパスワードONにする運用なら特に問題は出ていないよ。

    • by Anonymous Coward

      誤解のないように申し上げますが、SMSを使ったOTPは、技術的特性を考えると、安全性が高い方式ですよ。(もちろんSMSは元々がOTPのための機能ではないため、そこまで安全でもないので技術的特性の不足を技術的特性の異なる多要素の認証方式で補完し合うほうがいいのですが。)

      SMS対応SIMとの紐付けが必要である以上、虚偽登録や多重登録防止、不正利用防止の効果もあります。
      基本的にYahoo!は、不正利用被害、運営妨害が運営上の大きな問題になっているので、被害ゼロにはならないだけで、パスワードレス認証の方針は妥当だと思います。(ただ、利便性に片寄せしているのはそのとおり。)

      #4280841 は、典型的な不正利用、代理人(認証代行業者(バイト))によるSMS認証させる手口ですよ。やってることが犯罪者の行動パターンってこと自覚したほうがいいですよ。お行儀よくインターネットを使いましょう。

      • by Anonymous Coward

        Amazonは、そういう面倒なこと言わずにPrime 会員になれますがな。

        Yahoo!の考える、犯罪者のパターンとは何なのか。
        ヤフコメなんて廃止してしまえというなら、実にその通りだと思うけれど。

      • by Anonymous Coward

        SMSを使ったOTPは、世界的には非推奨の流れです。

      • by Anonymous Coward

        パスワード+TOTPからSMS OTP単独になったから非難を浴びてるんでしょうが
        何を頓珍漢なこと言ってるのあんた?
        (って書くとスラドのモデレーションはゴミだからまたマイナス食らうか?)

        明らかにSIMスワップに脆弱になってる(+今回みたいに携帯回線が止まるとログインできなくなる)
        ついでにいうとSMSが脆弱だから最低でもTOTPにって流れは常識ですよ。

        まあもっとも、大半のサービスでは依然としてSMSでリカバリーできちゃうから安全性って面ではあんま代わらないんだがね。
        私が知る限り、完全にSMS認証無効にできるのはGoogleだけかな。

        パスワード使い回さなくて強度が十分で漏洩しない前提なら、TOTPも本来必要無いし、リカバリー用の電話番号登録しないのが一番セキュリティ強度高いまである。
        (と言いたいところだけど、今度はリカバリーサポートの担当者の対応次第になってしまうから、電話番号登録するかしないかは難しいんだよね)

        結局どれもこれも、アホな利用者からのサポートコストを削減したいってのが本音なんでしょうね。

        • by Anonymous Coward

          はい、そういう意見が返ってくると思って、一応、予防線として補足を入れたんですよ。

          >(もちろんSMSは元々がOTPのための機能ではないため、そこまで安全でもないので技術的特性の不足を技術的特性の異なる多要素の認証方式で補完し合うほうがいいのですが。)

          >パスワード+TOTPからSMS OTP単独になったから非難を浴びてるんでしょうが
          >何を頓珍漢なこと言ってるのあんた?
          >(って書くとスラドのモデレーションはゴミだからまたマイナス食らうか?)

          誤解されてしまったようで申し訳ない。「技術的特性」の意味を拡大解釈してもらいたい。(こういうことは具体的に

          • by Anonymous Coward

            >サポートコスト削減と言うよりも、負荷がある一定規模に達すると、運用が限界に達して破綻する。

            私は運用に関わったことないのでそういう理屈持ってこられると反論しようがないですが、それなら他の企業でちゃんと運用できてるところ使うだけですね。実際にあるんですから。
            より規模の大きな企業が出来てるなかで、無理ですできませんっていうなら乗り換えるだけです。
            そうやって競争力の無い企業は淘汰されてきました。

            • by Anonymous Coward

              一般論にそれてしまって申し訳ないですが、サイバー攻撃を受けたとある病院のシステム管理者が1名だったというように、セキュリティとサポートコストをどうやっても捻出できない事情があり、かつ、そもそも市場競争が無いというケースもあります。「乗り換えられないこともありますよ」というケース(日本政府とか)もお忘れなく。
              地方移住を推進と言っても病院のない地域には行きたくないですよね。そういう地方も「淘汰」で済ましていいものでしょうか。(脱線ですね。すみません。地方を地域唯一の病院や企業に置き換えてみてください。案外、淘汰するわけにもいかないんですよ。)

          • by Anonymous Coward

            グループの禿げ社長に毎回上納するほど金持ってるヤフーが、何言ってるのよ。
            コスト削減が全てなんでしょうに。Premium課金しても冷遇されるスゲーサイト。

    • by Anonymous Coward

      auの回線が死んでますが、SMS認証できないためログインできない人が続出してるようですね…。
      他の回線に逃れる手段がない、という点で、筋が悪すぎる。

    • by Anonymous Coward

      高校生がSMS認証代行業、ゲーム実況者のスマホ通知利用 容疑で書類送検
      https://www.kyoto-np.co.jp/articles/-/747545 [kyoto-np.co.jp]

      このケースのように、電話番号を知っていれば攻撃(なりすまし等)される。
      認証方式としては、利便性よりだと思う。

      SMS認証代行容疑で逮捕 37歳男、140件関与か
      https://www.nikkei.com/article/DGXZQOUE063ZG0W2A700C2000000/ [nikkei.com]

      SMS認証は、パスワード認証よりかは、アカウントの不正取得対策に効果があるが、やっぱりいたちごっこ。

身近な人の偉大さは半減する -- あるアレゲ人

処理中...