アカウント名:
パスワード:
「電話番号認証・登録」がなぜセキュリティ向上になるかわからない。
サービスの提供そのものに必要ない情報を提供するのは御免蒙る。なにかサイト側に問題があった時にそのサービスを利用するのに必須の情報が漏れるのはある程度仕方ないが、不要な情報まで登録させられて、洩らされる。セキュリティ向上どころか、セキュリティの劣化にしかならん。
パスワードクラックや乗っ取りの対策ならば①パスワードそのものを長くするか、②2フィールドパスワードを作る。 ③最初の登録時にパスワードとは別のセキュリティコードを発行しアクセス時に必須にする(クレカ方式)のほうがよっぽどマシ。
電話番号に二段階認証用のコードが届きます
だから?
そもそも「FACEBOOKのサービスの提供に電話番号必要ないだろ」
2段階認証なんぞなんの関係もない話。それこそ「必要もないのに電話番号で2段階認証させて、それを漏らしている」=セキュリティの劣化でしかないわけだが。今回の例のように。
「今回のように必要もないのに登録させて、それを漏らしている」それがすべてなのだから。
「初回登録時、本人が使用している要素の確認であれば認証URLメールでなんの問題もない。」
http://it.srad.jp/comments.pl?sid=665504&cid=2867565 [it.srad.jp] >「非公開設定のはずの携帯電話番号が特定されてしまうことが問題」の通り。そもそも「いら
まあメールなんて必ず本人に届くかどうかわからんものより電話番号へSMS送った方が安心だよね、という企業側から見た安全性なのでは
力説してるけど、あまり説得力を感じないなぁ
届かないようなメールアドレス登録してくるやつがアクセスできないほうが企業側から見て安全ともいえる。
単に、電話番号のほうが変えにくいだろうことが企業側から見て便利なんだろうな、と思うけど違うかな。
元ACの、個人情報保護のために「不要な情報を集めない」という意見はごく普通だよね。
メールはパスをハックすりゃ本人じゃなくてもいくらでも見れちゃうけど電話を違う端末で本人以外が代わりに受信することは難しいよね、ってだけかな
不要な情報は集めないのはふつうだけど、不要かどうかの判断が個人の感情論に依存してるのがどうなのかな。本当に不要かどうかがユーザーが判断できるのかしら?
不要かどうかと、自分が出したいか出したくないかをごちゃまぜにしてるだけかと
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
毎回思うが (スコア:1)
「電話番号認証・登録」がなぜセキュリティ向上になるかわからない。
サービスの提供そのものに必要ない情報を提供するのは御免蒙る。
なにかサイト側に問題があった時にそのサービスを利用するのに必須の情報が漏れるのはある程度仕方ないが、
不要な情報まで登録させられて、洩らされる。セキュリティ向上どころか、セキュリティの劣化にしかならん。
パスワードクラックや乗っ取りの対策ならば
①パスワードそのものを長くするか、
②2フィールドパスワードを作る。
③最初の登録時にパスワードとは別のセキュリティコードを発行しアクセス時に必須にする(クレカ方式)
のほうがよっぽどマシ。
Re: (スコア:0)
電話番号に二段階認証用のコードが届きます
Re: (スコア:2, すばらしい洞察)
だから?
そもそも「FACEBOOKのサービスの提供に電話番号必要ないだろ」
2段階認証なんぞなんの関係もない話。それこそ「必要もないのに電話番号で2段階認証させて、それを漏らしている」
=セキュリティの劣化
でしかないわけだが。今回の例のように。
「今回のように必要もないのに登録させて、それを漏らしている」
それがすべてなのだから。
「初回登録時、本人が使用している要素の確認であれば認証URLメールでなんの問題もない。」
http://it.srad.jp/comments.pl?sid=665504&cid=2867565 [it.srad.jp]
>「非公開設定のはずの携帯電話番号が特定されてしまうことが問題」
の通り。そもそも「いら
Re:毎回思うが (スコア:0)
まあメールなんて必ず本人に届くかどうかわからんものより
電話番号へSMS送った方が安心だよね、という企業側から見た安全性なのでは
力説してるけど、あまり説得力を感じないなぁ
それ説得力を感じない (スコア:1)
届かないようなメールアドレス登録してくるやつがアクセスできないほうが企業側から見て安全ともいえる。
単に、電話番号のほうが変えにくいだろうことが企業側から見て便利なんだろうな、と思うけど違うかな。
元ACの、個人情報保護のために「不要な情報を集めない」という意見はごく普通だよね。
Re: (スコア:0)
メールはパスをハックすりゃ本人じゃなくてもいくらでも見れちゃうけど
電話を違う端末で本人以外が代わりに受信することは難しいよね、ってだけかな
不要な情報は集めないのはふつうだけど、不要かどうかの判断が個人の感情論に
依存してるのがどうなのかな。本当に不要かどうかがユーザーが判断できるのかしら?
不要かどうかと、自分が出したいか出したくないかをごちゃまぜにしてるだけかと