アップルが「SMS認証」の標準化を提案。Googleはすでに受け入れ

スポンサーリンク
アップルが「SMS認証」の標準化を提案。Googleはすでに受け入れ
アプリやWebサービスでの2要素認証(2段階認証)としては、携帯電話にSMSにより1回限りのワンタイムパスコード(OTP)を送る方式が主流の1つとなっています。
これはパスワードと、本物のユーザーだけが知りうる別の要素(この場合はワンタイムパスコード)を組み合わせてセキュリティを堅牢にする仕組みですが、現状ではメッセージがさまざまな形式を取る可能性があり、アプリやWebサイトがそれらを検出して情報を自動的に抽出することが困難となっています。
そうした2要素認証のワンタイムパスコードを含んだSMSメッセージにつき、アップルのWebkit(同社の標準ブラウザSafariの中核技術)エンジニアが標準化を提案していると報じられています。アップル側の提案は2つあり、1つはメッセージ自体にログインURLを追加することで、ワンタイムパスコードを含むSMSメッセージをWebサイトに関連付けることです。
もう1つの提案は、SMSメッセージの形式を標準化して、Webブラウザやその他のアプリがワンタイムパスコード入りの着信SMSを識別してURLも認識し、さらにワンタイムパスコードも抽出して、Webサイトのログインフィールドに自動入力できるようにすること。
これによりワンタイムパスコードの受信と入力のプロセスを自動化が実現できる、つまり「SMSメッセージが着信して問題が検出されなければ、直ちに自動ログインが行われる」わけです。それとともに人間がSMSメッセージを見る前に不正がないかどうかがチェックされるため、ユーザーが詐欺にひっかかって偽のフィッシングサイトにワンタイムパスコードを入力するリスクも排除できる仕組みです。
アップル開発者がワンタイムパスコード用のSMSメッセージとして提案しているフォーマットは、具体的には次のようなものです。
747723 is your WEBSITE authentication code.(747723はWebサイト認証コードです)
@ website.com#747723
最初の行は人間ユーザーを対象としており、SMSのワンタイムパスコードがどのWebサイトから送られてきたのかを判別できるようにするもの。2行目はWebブラウザやアプリによって処理され、ワンタイムパスコードを自動的に抽出して2要素ログイン操作を完了できるようにしています。
そして不一致があって自動入力が失敗した場合、人間ユーザーはWebサイトの実際のURLを確認して、本来ログインしようとしているサイトと比較できます。それら2つが食い違っている場合は、フィッシングサイトだと警告され、ログインを中止できるという流れです。
記事執筆時点では、Google Chromeのエンジニアはアップルの提案を受け入れているとのことです。ただしMozillaのFirefoxチームはまだ標準化に関して公式のフィードバックを提供していないと伝えられています。
すでにiOS 12以降にはセキュリティコード(SMSパスコード)の自動入力が導入されており、今回の提案もその延長上にあると推測できます。実際に主要Webブラウザにこの新フォーマットを読み取る機能が実装されれば、ワンタイムパスコードサービスを提供する各企業にも採用が広がり、iPhoneやその他スマートフォンでの2要素認証がより迅速かつセキュアとなるのかもしれません。
https://japanese.engadget.com/jp-2020-02-01-sms-google.html
スポンサーリンク
ネットの反応


海外を転々とする人のことも考慮してくれ。
電話番号なんてしょっちゅう変わるんだわ。
スマホに固有ID与えてそれで認証の方がマシだわ、、、


>>2
番号変える必要ないだろ


>>24
あー違う違う
国ごとにSIM変えて番号変わるのか


ヤフーもこれになってめんどいわ


データ通信のみでip電話しか無い月700円のSEのワシは無視ですかそうですか。
パソコンしか知らなかったワイが、初携帯のiphone持ってハード会社と通信会社と特定の機種に
紐付けされてるのをしってこうやって個人を認識してんのか面白いな、いや怖いなと思った。
パソコンと無線LANとプロバイダーとの関係ぐらいの方が気が楽やわ。
仕事先の全部上場超大手企業である元請けが下請けとの間にクラウド作って、
セキュリティ設定の資料のFAQに問:「スマホ持ってないんですけどどうしたらいいですか?」
答:「スマホを持ってください。」でワロタ。ジジイ下請け切り捨てにかかっとんな。


>>5
SMS使えるプランにしろよ
通話の有無は関係ない


本当の狙いは利用者と電話番号の紐付け


>>6
それな


紐付けされてもなんの不都合も無いわけだが


確実にSMSが返ってくるならいいけど
ヤフーの認証なんかSMSが遅かったり返ってこなかったりして嫌になる


ネットはよく使うけどスマホはほとんど使わない(大体バッグや寝室に放置)人間に取っては
結構面倒なんだよねこれ
銀行の決済とかリスクの高い物にはいいんだけど


>>12
そのうち決済専門のカードぐらいの大きさのフェルカとかQRコード表示するような物はでてくるんじゃね?
電子ペーパー使って


>>23
トークンというものがあってだな


SMSの料金って、送信側負担よね?
確認・認証が増えれば増えるほど、キャリアは儲かるね


>>13
受信側も負担してる


SMSで認証するって時点で穴だらけだろ


>>17
実際に穴だらけかどうかはどうでもいいんだよ


面倒臭いからやだ。


そんな奴にお手軽認証なんて本末転倒


固定電話に対応しろ


SMS認証とかやる限りペイペイもなんとかペイも
使いません!!


勝手にSMSから暗証番号拾って入力された状態にしてくれるんだから
凄く楽じゃない?


これSMSの内容をアプリが全部読みますってこと?


>>32
ワンタイムパスワードを盗まれる間もなく自動で入力する規格なのに何の心配をしてるんだ?


>>36
間に処理ぶっこまれて遅延500msとしてお前は気付けるのか?
そんだけあればかなりの事が出来るわけなんだが


>>43
SMS(えすえむえす)をじゅしんできるスマホ(すまほ)のメッセージ(めっせーじ)アプリ(あぷり)をつくっているかいしゃはせかいにいくつあるのかな?
こたえてみよう!


>>44
いや、受信したこと、ブラウザに送ろうとしたこと検知してフックしてブラウザ遅延させてそのスキにどっかに送ればいいだけ
直接受信とか、そういう馬鹿な考え今の時代に無いよ(笑)


2階のPC使っててスマホは1階っていう状況で
ヤフーにsms認証求められると、
地味にめんどくさい、地味にイラッとくるw


>>34
メールで受信にしておいてパソでも確認できるようにしておけば楽


これが当たり前になると
携帯持ってないやつが詰む


複数端末あるとこれ面倒臭い


誰も得しないし大してセキュリティが上がるわけでも無い
簡単に悪用される気休め


2段階認証もいいんだけどさ
3年前、iPhone買い替えたとき
Appleのサーバ落ちてて
全然コード送られてこなくて
半日アクティベーション出来ずに泣いた。


こないだ普段使ってない端末でgoogleにログインしようとしたらsms認証まったく送ってこなかったのに標準化かよー


SMS無しのデータSIMが使い物にならなくなるな


smsでキーを送るのは、送信側を成りすましできるからセキュリティの強度が低いって言ってなかったか?Google神様が


日本企業「SMS認証?ツイッター?何それおいしいの?」
少子化の原因、Fラン大学のせいだった
歴史上最も世界統一に近いとこまでいった人物ランキング1位って
勇者「勇者パーティーの独立を決心した」
【朗報】波瑠さん、可愛すぎるwwwww(※画像あり)
なんJ、恵方巻対策本部
お前らが人生で後悔していること上げていけ
スポンサーリンク
ディスカッション
コメント一覧
まだ、コメントがありません