アカウント名:
パスワード:
数年前からパスワードレス認証への移行を強力に推し進めていたYahoo! JAPAN、現在はPayPayやYahoo!ショッピングでもパスワードレス認証が必須。
誤解のないように申し上げますが、SMSを使ったOTPは、技術的特性を考えると、安全性が高い方式ですよ。(もちろんSMSは元々がOTPのための機能ではないため、そこまで安全でもないので技術的特性の不足を技術的特性の異なる多要素の認証方式で補完し合うほうがいいのですが。)
SMS対応SIMとの紐付けが必要である以上、虚偽登録や多重登録防止、不正利用防止の効果もあります。基本的にYahoo!は、不正利用被害、運営妨害が運営上の大きな問題になっているので、被害ゼロにはならないだけで、パスワードレス認証の方針は妥当だと思います。(ただ、利便性に片寄せしているのはそのとおり。)
#4280841 は、典型的な不正利用、代理人(認証代行業者(バイト))によるSMS認証させる手口ですよ。やってることが犯罪者の行動パターンってこと自覚したほうがいいですよ。お行儀よくインターネットを使いましょう。
パスワード+TOTPからSMS OTP単独になったから非難を浴びてるんでしょうが何を頓珍漢なこと言ってるのあんた?(って書くとスラドのモデレーションはゴミだからまたマイナス食らうか?)
明らかにSIMスワップに脆弱になってる(+今回みたいに携帯回線が止まるとログインできなくなる)ついでにいうとSMSが脆弱だから最低でもTOTPにって流れは常識ですよ。
まあもっとも、大半のサービスでは依然としてSMSでリカバリーできちゃうから安全性って面ではあんま代わらないんだがね。私が知る限り、完全にSMS認証無効にできるのはGoogleだけかな。
パスワード使い回さなくて強度が十分で漏洩しない前提なら、TOTPも本来必要無いし、リカバリー用の電話番号登録しないのが一番セキュリティ強度高いまである。(と言いたいところだけど、今度はリカバリーサポートの担当者の対応次第になってしまうから、電話番号登録するかしないかは難しいんだよね)
結局どれもこれも、アホな利用者からのサポートコストを削減したいってのが本音なんでしょうね。
はい、そういう意見が返ってくると思って、一応、予防線として補足を入れたんですよ。
>(もちろんSMSは元々がOTPのための機能ではないため、そこまで安全でもないので技術的特性の不足を技術的特性の異なる多要素の認証方式で補完し合うほうがいいのですが。)
>パスワード+TOTPからSMS OTP単独になったから非難を浴びてるんでしょうが>何を頓珍漢なこと言ってるのあんた?>(って書くとスラドのモデレーションはゴミだからまたマイナス食らうか?)
誤解されてしまったようで申し訳ない。「技術的特性」の意味を拡大解釈してもらいたい。(こういうことは具体的に
>サポートコスト削減と言うよりも、負荷がある一定規模に達すると、運用が限界に達して破綻する。
私は運用に関わったことないのでそういう理屈持ってこられると反論しようがないですが、それなら他の企業でちゃんと運用できてるところ使うだけですね。実際にあるんですから。より規模の大きな企業が出来てるなかで、無理ですできませんっていうなら乗り換えるだけです。そうやって競争力の無い企業は淘汰されてきました。
一般論にそれてしまって申し訳ないですが、サイバー攻撃を受けたとある病院のシステム管理者が1名だったというように、セキュリティとサポートコストをどうやっても捻出できない事情があり、かつ、そもそも市場競争が無いというケースもあります。「乗り換えられないこともありますよ」というケース(日本政府とか)もお忘れなく。地方移住を推進と言っても病院のない地域には行きたくないですよね。そういう地方も「淘汰」で済ましていいものでしょうか。(脱線ですね。すみません。地方を地域唯一の病院や企業に置き換えてみてください。案外、淘汰するわけにもいかないんですよ。)
グループの禿げ社長に毎回上納するほど金持ってるヤフーが、何言ってるのよ。コスト削減が全てなんでしょうに。Premium課金しても冷遇されるスゲーサイト。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
Yahoo!のahoo!なパスワードレス認証推進が原因 (スコア:5, 参考になる)
数年前からパスワードレス認証への移行を強力に推し進めていたYahoo! JAPAN、現在はPayPayやYahoo!ショッピングでもパスワードレス認証が必須。
Re: (スコア:0)
誤解のないように申し上げますが、SMSを使ったOTPは、技術的特性を考えると、安全性が高い方式ですよ。(もちろんSMSは元々がOTPのための機能ではないため、そこまで安全でもないので技術的特性の不足を技術的特性の異なる多要素の認証方式で補完し合うほうがいいのですが。)
SMS対応SIMとの紐付けが必要である以上、虚偽登録や多重登録防止、不正利用防止の効果もあります。
基本的にYahoo!は、不正利用被害、運営妨害が運営上の大きな問題になっているので、被害ゼロにはならないだけで、パスワードレス認証の方針は妥当だと思います。(ただ、利便性に片寄せしているのはそのとおり。)
#4280841 は、典型的な不正利用、代理人(認証代行業者(バイト))によるSMS認証させる手口ですよ。やってることが犯罪者の行動パターンってこと自覚したほうがいいですよ。お行儀よくインターネットを使いましょう。
Re:Yahoo!のahoo!なパスワードレス認証推進が原因 (スコア:0)
パスワード+TOTPからSMS OTP単独になったから非難を浴びてるんでしょうが
何を頓珍漢なこと言ってるのあんた?
(って書くとスラドのモデレーションはゴミだからまたマイナス食らうか?)
明らかにSIMスワップに脆弱になってる(+今回みたいに携帯回線が止まるとログインできなくなる)
ついでにいうとSMSが脆弱だから最低でもTOTPにって流れは常識ですよ。
まあもっとも、大半のサービスでは依然としてSMSでリカバリーできちゃうから安全性って面ではあんま代わらないんだがね。
私が知る限り、完全にSMS認証無効にできるのはGoogleだけかな。
パスワード使い回さなくて強度が十分で漏洩しない前提なら、TOTPも本来必要無いし、リカバリー用の電話番号登録しないのが一番セキュリティ強度高いまである。
(と言いたいところだけど、今度はリカバリーサポートの担当者の対応次第になってしまうから、電話番号登録するかしないかは難しいんだよね)
結局どれもこれも、アホな利用者からのサポートコストを削減したいってのが本音なんでしょうね。
Re: (スコア:0)
はい、そういう意見が返ってくると思って、一応、予防線として補足を入れたんですよ。
>(もちろんSMSは元々がOTPのための機能ではないため、そこまで安全でもないので技術的特性の不足を技術的特性の異なる多要素の認証方式で補完し合うほうがいいのですが。)
>パスワード+TOTPからSMS OTP単独になったから非難を浴びてるんでしょうが
>何を頓珍漢なこと言ってるのあんた?
>(って書くとスラドのモデレーションはゴミだからまたマイナス食らうか?)
誤解されてしまったようで申し訳ない。「技術的特性」の意味を拡大解釈してもらいたい。(こういうことは具体的に
Re: (スコア:0)
>サポートコスト削減と言うよりも、負荷がある一定規模に達すると、運用が限界に達して破綻する。
私は運用に関わったことないのでそういう理屈持ってこられると反論しようがないですが、それなら他の企業でちゃんと運用できてるところ使うだけですね。実際にあるんですから。
より規模の大きな企業が出来てるなかで、無理ですできませんっていうなら乗り換えるだけです。
そうやって競争力の無い企業は淘汰されてきました。
Re: (スコア:0)
一般論にそれてしまって申し訳ないですが、サイバー攻撃を受けたとある病院のシステム管理者が1名だったというように、セキュリティとサポートコストをどうやっても捻出できない事情があり、かつ、そもそも市場競争が無いというケースもあります。「乗り換えられないこともありますよ」というケース(日本政府とか)もお忘れなく。
地方移住を推進と言っても病院のない地域には行きたくないですよね。そういう地方も「淘汰」で済ましていいものでしょうか。(脱線ですね。すみません。地方を地域唯一の病院や企業に置き換えてみてください。案外、淘汰するわけにもいかないんですよ。)
Re: (スコア:0)
グループの禿げ社長に毎回上納するほど金持ってるヤフーが、何言ってるのよ。
コスト削減が全てなんでしょうに。Premium課金しても冷遇されるスゲーサイト。