YAHOO、JAPAN(ヤフー)セキュリティ向上の新たな取り組み☆生体認証などのパスワードを利用しない新たな認証方式
*ヤフー、パスワードでのログインを無効にする機能を提供開始
*「リスト型攻撃」による不正アクセスを防止する
☆「リスト型攻撃」とは
*第三者が他のサイトなどから入手したIDとパスワード
*その組み合わせのリストを使って、不正アクセスを試みる手法
ヤフーパスワードを設定しない登録方法を提供する☆「ヤフーID」を登録したユーザー
*携帯電話番号と都度SMSやメールに送信される確認コードの入力でログインできる
*パスワードを設定必要がない
*攻撃者が不正に入手したIDとパスワードで、アクセスされるリスクがない
☆パスワードを設定せずにログインしているアクティブユーザーID数
*現在約200万ID数↑
ヤフーがパスワード廃止、人類はパスワードから解放されるか?☆パスワードの限界と追い打ちをかけるリスト型攻撃
☆パスワードは、長年その欠点とわずらわしさを指摘されている
*総合的に管理しやすくシステムへの実装もしやすい
*パスワードに代わる決定打もないため、必要悪のように使い続けられている
☆生活や業務のネット依存が拡大している現在
*必要なパスワードの数は、人の管理能力を簡単に超えてきている
☆サービス側は使いまわしや覚えやすいフレーズの利用を禁止、制限する
*定期的な変更も要求してくる
☆加えて攻撃の高度化により、複雑なパスワードルール
*ユーザーは、翻弄されている
☆何億、何十億という単位のアカウント情報
*ダークネット上では普通に取引されている
☆メジャーなサービスのユーザーアカウント情報
*漏れている前提でセキュリティを考えなければならない状況
ヤフーがパスワードなしでログインできるサービスを開始☆ヤフーリスト攻撃への対策の必要性を感じたのだろう
*SMSによる認証コードでログインさせる方法を始めた
☆ショッピングやオークションなどのサービスで新規アカウントを設定する場合
*ワンタイムパスワードをSMSに送る方式を提供している
☆最近、既存アカウントも希望者に対しても利用できるようにした
パスワード忘れ・再発行手続きよりは簡単☆「スマートログイン」機能を設定しているスマートフォンユーザーを対象にしている
☆手続き(オンライン)で、設定されているパスワードを無効にする
☆登録した携帯電話番号にSMSで送られてくるワンタイムパスワードを利用する
☆ログインが必要なたびに新しいパスワードが発行される
*パスワード情報のハッキングや漏えいを気にする必要がなくなる
☆ログインのたびにSMSを受信してコード入力をする必要があるのが面倒なのか?
*原理的に同じデバイスからのログイン
*認証成功時に生成したセッションIDやトークンを利用することで簡略化できる
*SMSによるワンタイムパスワード方式は、思っているほど煩雑ではない
☆単純なフレーズでログインしているパスワードより安全な状態になる
☆パスワードリストを利用した攻撃も無効化できる
☆市場でヤフーの方式が評価されれば、類似サービスも同様な方法に切り替えてくるかもしれない
☆将来的には生体認証の活用も目指す
知識・意欲の向上目指し、記事を参考・引用し、自分のノートとしてブログに記載出典内容の知識共有、出典の購読、視聴に繋がればと思いブログで紹介しました☆記事内容ご指摘あれば、訂正・削除します
私の知識不足の為、記述に誤り不明点あると思います詳細は、出典記事・番組・画像で確認ください出典、『ビジネス+IT』『YAHOO、JAPAN HP』
『YAHOO、JAPAN HP』記事より画像引用)
※コメント投稿者のブログIDはブログ作成者のみに通知されます