RSSおすすめ記事です

スポンサーリンク

「2要素認証」導入はたったの2割、Webサービスのあまりに無防備な実態

ニュースセキュリティ

セキュリティ

スポンサーリンク

「2要素認証」導入はたったの2割、Webサービスのあまりに無防備な実態

1 : 名無しのシステムエンジニアさん 2019/07/21(日) 10:11:09.18 ID:CAP_USER.net

他のWebサービスから流出したIDとパスワードを使って不正にログインする「リスト型攻撃」が後を絶たない。

リスト型攻撃を受ける原因は、Webサービスの多くが、IDとパスワードによるユーザー認証(個人認証)しか実施していないためだ。多要素認証(2要素認証)やリスクベース認証といった別の認証方式を導入すれば、リスト型攻撃を防げる可能性が高い。

 だが、IDとパスワードしか使っていないWebサービスはまだまだ多いようだ。フィッシング対策協議会が実施した調査により、危険な実態が浮き彫りになった。

300社以上にアンケート調査
 フィッシング対策協議会はフィッシング対策の業界団体。Webサービス(インターネットサービス)事業者やセキュリティーベンダーなどで構成される。

 同協議会は、インターネットでサービスを提供している事業者がどのようなユーザー認証方式を採用しているのかを把握するため、ユーザー認証に関するアンケート調査を実施した。

 「こういった調査の結果が過去になかったので、自分たちで実施することにした」(フィッシング対策協議会の長谷部一泰運営委員 認証方法調査・推進ワーキンググループ主査)。

 対象は、銀行・地銀、クレジットカード、保険など10業種。それぞれの業種で31の企業の担当者に尋ねた。ただし「ゲーム」についてはサンプル数が足りなかったため29企業とした。

調査対象企業が提供しているサービスのユーザー数(ID数)は、1000未満から500万以上まで様々。業種によってもばらつきがある。また、調査対象の企業名は明らかにしていない。匿名を条件に調査した。
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/02573/


スポンサーリンク

ネットの反応

3 : 名無しのシステムエンジニアさん 2019/07/21(日) 10:18:32.53 ID:DEFlGIue.net
Left Caption

まあぶっちぎりでザルなのはセブンなのは変わらないけど

4 : 名無しのシステムエンジニアさん 2019/07/21(日) 10:21:09.54 ID:m8kwmCGh.net
Left Caption

現金扱ったりクレジットカードと紐付けされるようなサービスじゃなきゃどうでもいいわ

5 : 名無しのシステムエンジニアさん 2019/07/21(日) 10:24:59.30 ID:Uq5Eeqf1.net
Left Caption

Apple Pay最強、他はクソ
2段階認証なのに2段階の面倒さが無い
SMS受信した時点で完了する
開いてリンク踏んだりする必要無し

8 : 名無しのシステムエンジニアさん 2019/07/21(日) 10:44:05.65 ID:/BhnhZG4.net
Left Caption

>>5
その代わり端末10万だけどな
SE消えたから

6 : 名無しのシステムエンジニアさん 2019/07/21(日) 10:25:54.01 ID:/yt8PiVW.net
Left Caption

IDとパスワードしか使っていない上に、いまだにパスワードが英数字だけで記号が使えないクソとかあるよな

28 : 名無しのシステムエンジニアさん 2019/07/21(日) 16:50:56.28 ID:y/PmqISg.net
Left Caption

>>6
okwaveとgooのことか

7 : 名無しのシステムエンジニアさん 2019/07/21(日) 10:39:54.65 ID:PpAqswct.net
Left Caption

webサービスを2段階認証にしたらクソめんどくさいだろ
ログインするたびにSMS認証すんのか???
やっていいのはスマホアプリの初回だけだろ

10 : 名無しのシステムエンジニアさん 2019/07/21(日) 10:57:32.10 ID:UzMhJNc2.net
Left Caption

もともと、息子や孫を装うオレオレ詐欺大国で、利用者だけでなくシステムを開発する方も
セキュリティ意識が低い国民性だから。

11 : 名無しのシステムエンジニアさん 2019/07/21(日) 11:15:24.38 ID:XZIYP3+3.net
Left Caption

ヤフーJapanが早くから2段階認証
だよな。一度漏洩事件起こしてから
は堅くなった。

12 : 名無しのシステムエンジニアさん 2019/07/21(日) 11:21:02.12 ID:LG0pVFIy.net
Left Caption

別に二段階認証が必須な訳ではない。
本人確認せずにパスワード変更できたのが問題。

13 : 名無しのシステムエンジニアさん 2019/07/21(日) 11:54:23.98 ID:LVzVkToG.net
Left Caption

楽天に導入して欲しい

14 : 名無しのシステムエンジニアさん 2019/07/21(日) 11:54:33.24 ID:0wRdQJMa.net
Left Caption

二段階認証はネトゲやwebメールの方が進んでいるイメージ。

15 : 名無しのシステムエンジニアさん 2019/07/21(日) 12:21:39.88 ID:3nm4aOni.net
Left Caption

2段階認証もSMSならわかるけど
アプリ使ったやつとかよくわからん
スマホ壊れたら認証出来なくなるとかあったし怖い

17 : 名無しのシステムエンジニアさん 2019/07/21(日) 12:44:51.45 ID:pf9du69R.net
Left Caption

2段階認証ですか?・・・

18 : 名無しのシステムエンジニアさん 2019/07/21(日) 12:57:02.28 ID:t3wQE0WP.net
Left Caption

>>17
「二要素認証」を「二段階認証」の間違いだと勘違いしている人が
極めて稀にいるけど
2段階認証は多要素認証の形態のひとつ

19 : 名無しのシステムエンジニアさん 2019/07/21(日) 12:58:27.65 ID:tqoatjLi.net
Left Caption

使う側からすれば、ログイン時に「定期的にパスワード変えましょう」
っていう画面に飛ばされるだけでウザいって思っちゃうときもあるからなぁ。

20 : 名無しのシステムエンジニアさん 2019/07/21(日) 13:06:37.79 ID:5iy4lQJq.net
Left Caption

メールやらSMSやらで認証コード飛ばしてくれれば十分だと思う

25 : 名無しのシステムエンジニアさん 2019/07/21(日) 14:54:57.42 ID:0wRdQJMa.net
Left Caption

>>20
メールやSMSがやられたら終わりだけどね。

21 : 名無しのシステムエンジニアさん 2019/07/21(日) 13:12:05.24 ID:2G5AhkXF.net
Left Caption

たいして重要な情報おく予定もないのに多要素な認証を求めてくるサイトが多くてうざい

24 : 名無しのシステムエンジニアさん 2019/07/21(日) 14:06:34.39 ID:mL4jmuFb.net
Left Caption

宝くじ買う時の3Dセキュアぐらいかな

26 : 名無しのシステムエンジニアさん 2019/07/21(日) 16:16:54.44 ID:mPuVdru6.net
Left Caption

2要素認証というよりはボット対策だろうけど、表示されているアルファベット4桁を記載しろや絵を選んで空いている枠にはめろがうざい

27 : 名無しのシステムエンジニアさん 2019/07/21(日) 16:30:46.97 ID:itaqj98W.net
Left Caption

ゆうちょペイうっかりログアウトしたらIDわからんくなってコールセンターに電話するしかなかった

Posted by flac