アカウント名:
パスワード:
「電話番号認証・登録」がなぜセキュリティ向上になるかわからない。
サービスの提供そのものに必要ない情報を提供するのは御免蒙る。なにかサイト側に問題があった時にそのサービスを利用するのに必須の情報が漏れるのはある程度仕方ないが、不要な情報まで登録させられて、洩らされる。セキュリティ向上どころか、セキュリティの劣化にしかならん。
パスワードクラックや乗っ取りの対策ならば①パスワードそのものを長くするか、②2フィールドパスワードを作る。 ③最初の登録時にパスワードとは別のセキュリティコードを発行しアクセス時に必須にする(クレカ方式)のほうがよっぽどマシ。
電話番号に二段階認証用のコードが届きます
だから?
そもそも「FACEBOOKのサービスの提供に電話番号必要ないだろ」
2段階認証なんぞなんの関係もない話。それこそ「必要もないのに電話番号で2段階認証させて、それを漏らしている」=セキュリティの劣化でしかないわけだが。今回の例のように。
「今回のように必要もないのに登録させて、それを漏らしている」それがすべてなのだから。
「初回登録時、本人が使用している要素の確認であれば認証URLメールでなんの問題もない。」
http://it.srad.jp/comments.pl?sid=665504&cid=2867565 [it.srad.jp]>「非公開設定のはずの携帯電話番号が特定されてしまうことが問題」の通り。そもそも「いらんもの登録させなければ起こらない問題でしかない」
大体、「電話番号から氏名を検索って必要な機能なのか?電話番号を知ってる人間なら氏名は知ってるだろうよ。氏名は知ってて電話知らない(教えたくない)ってのはあっても逆はないだろ」
#一昔前までは「セキュリティの穴になるから不要な情報は集めない、表示しない」が「セキュリティの常識、アプリ開発者の常識」だったんだがなぁ#ビッグデータにしたいがためにセキュリティ軽視してなんでも間でも情報集めて理由が「セキュリティ向上」とは笑わせるわWWWW#実際は漏えい時の被害広げてるだけなのに
#そもそも乗っ取られた時点で、乗っ取った人間は、電話番号もメアドも同時にすべて自分のものに変更してしまえばいい話。#逆にそれで、「前のメアドと旧電話番号もどちらか使えないと認証できない」なら本当に両方変更が必要な人間からは#変更不可の欠陥にしかならんよ。
まあメールなんて必ず本人に届くかどうかわからんものより電話番号へSMS送った方が安心だよね、という企業側から見た安全性なのでは
力説してるけど、あまり説得力を感じないなぁ
届かないようなメールアドレス登録してくるやつがアクセスできないほうが企業側から見て安全ともいえる。
単に、電話番号のほうが変えにくいだろうことが企業側から見て便利なんだろうな、と思うけど違うかな。
元ACの、個人情報保護のために「不要な情報を集めない」という意見はごく普通だよね。
メールはパスをハックすりゃ本人じゃなくてもいくらでも見れちゃうけど電話を違う端末で本人以外が代わりに受信することは難しいよね、ってだけかな
不要な情報は集めないのはふつうだけど、不要かどうかの判断が個人の感情論に依存してるのがどうなのかな。本当に不要かどうかがユーザーが判断できるのかしら?
不要かどうかと、自分が出したいか出したくないかをごちゃまぜにしてるだけかと
馬鹿
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
毎回思うが (スコア:1)
「電話番号認証・登録」がなぜセキュリティ向上になるかわからない。
サービスの提供そのものに必要ない情報を提供するのは御免蒙る。
なにかサイト側に問題があった時にそのサービスを利用するのに必須の情報が漏れるのはある程度仕方ないが、
不要な情報まで登録させられて、洩らされる。セキュリティ向上どころか、セキュリティの劣化にしかならん。
パスワードクラックや乗っ取りの対策ならば
①パスワードそのものを長くするか、
②2フィールドパスワードを作る。
③最初の登録時にパスワードとは別のセキュリティコードを発行しアクセス時に必須にする(クレカ方式)
のほうがよっぽどマシ。
Re: (スコア:0)
電話番号に二段階認証用のコードが届きます
Re:毎回思うが (スコア:2, すばらしい洞察)
だから?
そもそも「FACEBOOKのサービスの提供に電話番号必要ないだろ」
2段階認証なんぞなんの関係もない話。それこそ「必要もないのに電話番号で2段階認証させて、それを漏らしている」
=セキュリティの劣化
でしかないわけだが。今回の例のように。
「今回のように必要もないのに登録させて、それを漏らしている」
それがすべてなのだから。
「初回登録時、本人が使用している要素の確認であれば認証URLメールでなんの問題もない。」
http://it.srad.jp/comments.pl?sid=665504&cid=2867565 [it.srad.jp]
>「非公開設定のはずの携帯電話番号が特定されてしまうことが問題」
の通り。そもそも「いらんもの登録させなければ起こらない問題でしかない」
大体、
「電話番号から氏名を検索って必要な機能なのか?電話番号を知ってる人間なら氏名は知ってるだろうよ。
氏名は知ってて電話知らない(教えたくない)ってのはあっても逆はないだろ」
#一昔前までは「セキュリティの穴になるから不要な情報は集めない、表示しない」が「セキュリティの常識、アプリ開発者の常識」だったんだがなぁ
#ビッグデータにしたいがためにセキュリティ軽視してなんでも間でも情報集めて理由が「セキュリティ向上」とは笑わせるわWWWW
#実際は漏えい時の被害広げてるだけなのに
#そもそも乗っ取られた時点で、乗っ取った人間は、電話番号もメアドも同時にすべて自分のものに変更してしまえばいい話。
#逆にそれで、「前のメアドと旧電話番号もどちらか使えないと認証できない」なら本当に両方変更が必要な人間からは
#変更不可の欠陥にしかならんよ。
Re: (スコア:0)
まあメールなんて必ず本人に届くかどうかわからんものより
電話番号へSMS送った方が安心だよね、という企業側から見た安全性なのでは
力説してるけど、あまり説得力を感じないなぁ
それ説得力を感じない (スコア:1)
届かないようなメールアドレス登録してくるやつがアクセスできないほうが企業側から見て安全ともいえる。
単に、電話番号のほうが変えにくいだろうことが企業側から見て便利なんだろうな、と思うけど違うかな。
元ACの、個人情報保護のために「不要な情報を集めない」という意見はごく普通だよね。
Re: (スコア:0)
メールはパスをハックすりゃ本人じゃなくてもいくらでも見れちゃうけど
電話を違う端末で本人以外が代わりに受信することは難しいよね、ってだけかな
不要な情報は集めないのはふつうだけど、不要かどうかの判断が個人の感情論に
依存してるのがどうなのかな。本当に不要かどうかがユーザーが判断できるのかしら?
不要かどうかと、自分が出したいか出したくないかをごちゃまぜにしてるだけかと
Re: (スコア:0)
馬鹿