Yahoo! JAPAN、パスワードでのログインを行えなくする設定が可能に 26
ストーリー by hylom
安全かどうかは使い方次第 部門より
安全かどうかは使い方次第 部門より
Yahoo! JAPANがパスワードでのログインを無効化し、SMSやメール経由でのログインのみを有効にする機能の提供を開始した(ヤフーの発表、INTERNET Watch)。
この機能を有効にするとパスワードでのログインが行えなくなり、その代わりログイン時には登録されている電話番号やメールアドレスに毎回SMSやメールで送信される確認番号が必要となる。これにより、流出したメールアドレスとパスワードの組み合わせを使って不正ログインを試みるような攻撃を防ぐことができる。
ヤフーではすでに新規登録ユーザーに対してはパスワードを設定せずにアカウントを登録できる方法を提供しているとのこと。これを既存のユーザーにも広げるものとなる。ただし、この設定はスマートフォンからのみ行えるとのこと。
パスワード無しアカウントを作れたのは知らなかった (スコア:1, 参考になる)
ヤフー、ログイン時のパスワード廃止を段階的に開始 [impress.co.jp]
2018年4月時点でパスワードを設定せずに「Yahoo! JAPAN ID」を利用するアクティブユーザーIDは約200万にのぼる
2017年4月時点で毎日1万5千件のパスワード再設定が行われていた
パスワード無しのアカウントを作成できたのは知らなかった。
Re: (スコア:0)
アカウントなしのパスワードも作りたいな
Re: (スコア:0)
はい [luft.co.jp]
Re: (スコア:0)
正直、パスワードなしより、セキュリティ的に脆弱な秘密の質問を削除したいですわ。
Re: (スコア:0)
対策は、まともな回答を入れない(それこそパスワードをもう1つ生成して使う)くらいですね。
Re: (スコア:0)
一度設定すると変更も削除も出来ない仕様で凄く困る。
# ペットの名前とか。
登録者からの声!? (スコア:0)
ログイン方法を変えてから一変しました!?
SMSや電話でプレミアム会員やYahooBBへの勧誘が盛りだくさん!?
嬉しい悲鳴です!?
# このコメントはフィクションであり(以下略
デッドロック? (スコア:0)
「Yahooからの確認番号を受け取るため」に宛先として使う別メアドのサービスで、
既に「ログイン認証確認をYahooのメアドにへ送信する」って設定してたらおしまい?
Re: (スコア:0)
状況は異なるが、Facebookでデッドロックに陥っている。
確証は持てないが、どうやらFacebook側のポリシー変更で、認証コードの送り先として登録していたメールアドレス(xxx@xx.pdx.ne.jp)が、ある時点から不適切扱いとなったっぽい。
ログイン時、パスワードが認証された後、認諸コードの送り先電話番号が不適切と言われる。
そもそもログインできないので、宛先変更ができない。
パスワード変更など、色々試しているうちにアカウント停止。
申し立てとして、免許証の画像を送ってもなしのつぶて。
インフラにしていなくて良かった。
パスワード廃止は素晴らしいと思う (スコア:0)
パスワード廃止か。どんな方法かな。と思ったら、SMSやメール経由の認証か…。
そら現状ではそれしかないのは分かってはいたが、さほどスマートとは思えないな。
公開鍵認証が発明されたのは大昔なのに、ブラウザの鍵で認証するみたいな単純なことがなぜ今だにできないんだろう。
理由は確かにいろいろ浮かぶけど、パスワードを使いまわすかパスワード管理ツールを使うかの二択という現状は流石に残念過ぎる。
Re:パスワード廃止は素晴らしいと思う (スコア:2)
もしもしユーザの皆さんが個とかユーザアカウントとかパスワードとかの概念を理解できないからでは。
Re:パスワード廃止は素晴らしいと思う (スコア:1)
いたずら対策は用意されているのだろうか。
アカウント名が知られるだけで、SMS着信しっぱなしなんて避けたいが。
Re: (スコア:0)
つ WebAuthn
対応サービスがどれだけ出てくるかねえ。
Re: (スコア:0)
いやあ二段階認証の二段階目だけで認証とかアホかとしか。二段階目が多少ガバガバな方式でも許されるのはパスワードと組み合わせて認証するという前提があるからなわけで。
> ブラウザの鍵で認証する
Web AuthenticationがすでにChrome・Edge・Firefoxで使えるようになってるから後はサイト側のやる気の問題
Re: (スコア:0)
クライアント証明書による認証なら、対応可否なんて今更考えるまでもなく、
ずっと昔のブラウザでも対応している方法ですよね。
要はユーザサポートに原因があるんではないでしょうか。
パスワードであれば、内容を覚えてさえいれば入力できるわけですし。
そもそも (スコア:0)
携帯を替えるたびに乗り換えの仕方がわからなくてアカウント毎回作り直してる一部の人たちにはどうしようもない
Re:そもそも (スコア:1)
会員数〇百万件突破!
の数値の伸びが悪くなるからそういう人達への配慮はしないんじゃないかな
Re: (スコア:0)
Yahoo!ニュースその他サービス利用者が伸びた理由って、(初期費用だけ格安の)SBM携帯やスマホiPhoneとかでYahoo!サイトやアプリを使わせるようにしたから、よくわからない人は最初にそこを見てそこしか使わなくなったからだろうな。
いわゆるインプリンティング、近所のおばさんがそんなんだった。
Re: (スコア:0)
そういう人こそ、携帯番号だけで認証するのがベストなんじゃね?
セキュリティレベル下がってない? (スコア:0)
SMSは盗聴の手段があるし、メールも送信経路で平文で送られてたら盗み見るのは簡単なので、電話番号やメールアドレスがわかれば不正アクセスができるようになるのでは?
Re: (スコア:0)
不正アクセスの痕跡がっちり残すんで良ければ。つかSMSやメール筒抜けって既に相当ひどい状況だけどな。
Re: (スコア:0)
AndroidだとアプリがSMSにアクセスできるから取り放題だよね。
Emailは今時経路も暗号化してないようなとこは死ねばいい。
確認番号 (スコア:0)
その確認番号はどうやってもらうの?
定期的に送られてくるのか
イメージが沸かないんですが (スコア:0)
YahooのIDと言うと、popの捨てメールか、時々使うカーナビくらいしか使っていませんが、
PCとかスマホでメール確認するたびに、車走り出すたびに、SMSで番号もらって入れる?
本当にそんな運用になったら、面倒くさくて使うの辞めたくなります
Re: (スコア:0)
そういうのは認証キーを保持して、接続時に更新するような動作が普通な気がするけど...
# 更新がかからないころは、アプリケーションパスワード発行式が多かったかな?
# いまでも2要素認証有効とかは、同じになると思うけど
スマフォアプリでの認証は? (スコア:0)
その前に、ヘッダに"○○○さん"(実名)って、送ってくるメールを規制しなさい。。
偽装メールはどう防げと。そのうち、LINEで送るとか言い出す方に、10ぺりか。
世代が違うのか、アレ(ゆとり思考)なのか