パスワードを忘れた? アカウント作成
13602995 story
Yahoo!

Yahoo! JAPAN、パスワードでのログインを行えなくする設定が可能に 16

ストーリー by hylom
安全かどうかは使い方次第 部門より

Yahoo! JAPANがパスワードでのログインを無効化し、SMSやメール経由でのログインのみを有効にする機能の提供を開始した(ヤフーの発表INTERNET Watch)。

この機能を有効にするとパスワードでのログインが行えなくなり、その代わりログイン時には登録されている電話番号やメールアドレスに毎回SMSやメールで送信される確認番号が必要となる。これにより、流出したメールアドレスとパスワードの組み合わせを使って不正ログインを試みるような攻撃を防ぐことができる。

ヤフーではすでに新規登録ユーザーに対してはパスワードを設定せずにアカウントを登録できる方法を提供しているとのこと。これを既存のユーザーにも広げるものとなる。ただし、この設定はスマートフォンからのみ行えるとのこと。

関連リンク

  • by Anonymous Coward on 2018年05月21日 18時26分 (#3412150)

    ヤフー、ログイン時のパスワード廃止を段階的に開始 [impress.co.jp]

    2018年4月時点でパスワードを設定せずに「Yahoo! JAPAN ID」を利用するアクティブユーザーIDは約200万にのぼる

    2017年4月時点で毎日1万5千件のパスワード再設定が行われていた

    パスワード無しのアカウントを作成できたのは知らなかった。

    ここに返信
    • by Anonymous Coward

      アカウントなしのパスワードも作りたいな

    • by Anonymous Coward

      正直、パスワードなしより、セキュリティ的に脆弱な秘密の質問を削除したいですわ。

  • by Anonymous Coward on 2018年05月21日 17時57分 (#3412130)

    ログイン方法を変えてから一変しました!?
    SMSや電話でプレミアム会員やYahooBBへの勧誘が盛りだくさん!?
    嬉しい悲鳴です!?

    # このコメントはフィクションであり(以下略

    ここに返信
  • by Anonymous Coward on 2018年05月21日 18時46分 (#3412158)

    「Yahooからの確認番号を受け取るため」に宛先として使う別メアドのサービスで、
    既に「ログイン認証確認をYahooのメアドにへ送信する」って設定してたらおしまい?

    ここに返信
    • by Anonymous Coward

      状況は異なるが、Facebookでデッドロックに陥っている。

      確証は持てないが、どうやらFacebook側のポリシー変更で、認証コードの送り先として登録していたメールアドレス(xxx@xx.pdx.ne.jp)が、ある時点から不適切扱いとなったっぽい。
      ログイン時、パスワードが認証された後、認諸コードの送り先電話番号が不適切と言われる。
      そもそもログインできないので、宛先変更ができない。
      パスワード変更など、色々試しているうちにアカウント停止。
      申し立てとして、免許証の画像を送ってもなしのつぶて。

      インフラにしていなくて良かった。

  • by Anonymous Coward on 2018年05月21日 18時49分 (#3412161)

    パスワード廃止か。どんな方法かな。と思ったら、SMSやメール経由の認証か…。
    そら現状ではそれしかないのは分かってはいたが、さほどスマートとは思えないな。
    公開鍵認証が発明されたのは大昔なのに、ブラウザの鍵で認証するみたいな単純なことがなぜ今だにできないんだろう。
    理由は確かにいろいろ浮かぶけど、パスワードを使いまわすかパスワード管理ツールを使うかの二択という現状は流石に残念過ぎる。

    ここに返信
    • by Anonymous Coward

      つ WebAuthn

      対応サービスがどれだけ出てくるかねえ。

    • by Anonymous Coward

      いやあ二段階認証の二段階目だけで認証とかアホかとしか。二段階目が多少ガバガバな方式でも許されるのはパスワードと組み合わせて認証するという前提があるからなわけで。

      > ブラウザの鍵で認証する

      Web AuthenticationがすでにChrome・Edge・Firefoxで使えるようになってるから後はサイト側のやる気の問題

    • by Anonymous Coward

      クライアント証明書による認証なら、対応可否なんて今更考えるまでもなく、
      ずっと昔のブラウザでも対応している方法ですよね。

      要はユーザサポートに原因があるんではないでしょうか。
      パスワードであれば、内容を覚えてさえいれば入力できるわけですし。

    • by Anonymous Coward

      いたずら対策は用意されているのだろうか。
      アカウント名が知られるだけで、SMS着信しっぱなしなんて避けたいが。

  • by Anonymous Coward on 2018年05月21日 19時07分 (#3412177)

    携帯を替えるたびに乗り換えの仕方がわからなくてアカウント毎回作り直してる一部の人たちにはどうしようもない

    ここに返信
    • by Anonymous Coward on 2018年05月21日 21時12分 (#3412255)

      会員数〇百万件突破!

      の数値の伸びが悪くなるからそういう人達への配慮はしないんじゃないかな

    • by Anonymous Coward

      そういう人こそ、携帯番号だけで認証するのがベストなんじゃね?

  • by Anonymous Coward on 2018年05月21日 21時16分 (#3412257)

    SMSは盗聴の手段があるし、メールも送信経路で平文で送られてたら盗み見るのは簡単なので、電話番号やメールアドレスがわかれば不正アクセスができるようになるのでは?

    ここに返信
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...