NurseAngelの日記: ヤフー、パスワードを使わないログイン方法を導入 5
日記 by
NurseAngel
http://www.itmedia.co.jp/news/articles/1704/20/news123.html
スマートフォンなどのSMS(ショートメッセージサービス)を使って本人確認をする方法で、SMSで送られてくる確認コードを入力することでログインできる。
次回以降のログインは、携帯電話番号と都度送信される確認コードを入力するだけでログインできる。
これまではスマホにロックがかかってなくても、
パスワードを覚えさせておかなければ入れなかったけど、
今後はスマホ盗まれたら入られ放題ってことか?
まあスマホにロックかけてない時点でアウトか。
二段階認証からパスワードを抜いた感じ (スコア:0)
そういえばSMSって認証によく使われるが、そんなに堅牢なものなの?
伝送路としては最悪GSM経由の可能性もあって、Wikipediaによると最悪数分で解読できるとあるけど…。
日本に限ればPDCは廃止で最悪でも3Gだから大丈夫…といってもローミングや海外からのアクセスもあるよね。
大丈夫なのかな。
まぁ21世紀になって16年でもいまだにID/パスワード認証なんて野蛮な状況は早く何とかしてほしい。
順当にクライアント証明書とか、FIDOとか、そういうのじゃいかんのかなぁ。
Re:二段階認証からパスワードを抜いた感じ (スコア:2)
NISTは止めろと言って [techcrunch.com]ますね。無線区間で抜かれるからではなくて、VoIPへ飛んでるかもしれないからというのがよく分かりませんが。
Re:二段階認証からパスワードを抜いた感じ (スコア:1)
あと、硬い回線交換な電話回線だけ経由するとは限らない(on Netな状態になることがある)、という話もあるそうだけど...
# どれくらいかの度合がよくわらんね、SMSの安全性、たまーにリカバリに使うんならまあいいかなと思うんだけど
M-FalconSky (暑いか寒い)
Re:二段階認証からパスワードを抜いた感じ (スコア:1)
なんでそこでパスワード無しにして条件緩めるんだろう。
完全なセキュリティを期待するのは無理だから、利便性との兼ね合いでゆるくするのはしょうがないとは思うおけど。
Re: (スコア:0)
>まぁ21世紀になって16年でもいまだにID/パスワード認証なんて野蛮な状況は早く何とかしてほしい。
おおっと、スラドをdisるのはそこまでだっ!