スマートフォン版LINEアプリにPINコードを使用した認証機能が追加される 31
ストーリー by headless
追加 部門より
追加 部門より
相次ぐ不正ログイン発生を受け、パスワード変更で特製スタンプをプレゼントしたり、PC版クライアントでスマートフォンを使用した認証を導入したりといったセキュリティ対策を進めているLINEだが、17日からスマートフォン版アプリにPINコードを使用した認証機能を追加したそうだ(LINE公式ブログの記事)。
PINコードは電話番号の違う別のスマートフォンからメールアドレスとパスワードを使用してログインする際に必要となる。機種変更時に電話番号が変わる場合は、事前に設定しておかなければログインできないので注意が必要だ。PINコードの設定はLINEアプリの設定→アカウントで「PINコード」をタップすれば設定できる。これにより、電話番号の違う他のスマートフォンでLINEにログインしようとすると、PINコードの入力を求められるようになるとのこと。なお、Android版LINEのバージョン4.5.0未満を使用している場合、最新版への更新が必要となる。
PINコードは電話番号の違う別のスマートフォンからメールアドレスとパスワードを使用してログインする際に必要となる。機種変更時に電話番号が変わる場合は、事前に設定しておかなければログインできないので注意が必要だ。PINコードの設定はLINEアプリの設定→アカウントで「PINコード」をタップすれば設定できる。これにより、電話番号の違う他のスマートフォンでLINEにログインしようとすると、PINコードの入力を求められるようになるとのこと。なお、Android版LINEのバージョン4.5.0未満を使用している場合、最新版への更新が必要となる。
普通ワンタイムパスワードにするだろ (スコア:5, すばらしい洞察)
なんでPINコードなんだよ。
> 機種変更時に電話番号が変わる場合は、事前に設定しておかなければログインできないので注意が必要だ。
http://official-blog.line.me/ja/archives/1006009191.html [official-blog.line.me] より
> ※事前にPINコードを設定せずに、違う電話番号の端末に機種変更した場合、旧端末の電話番号の下4桁がPINコードの代わりになります。
実装がバカすぎる。このレベルでセキュリティを強化したと言えるのがバカ。それを報道で指摘しないのもバカ。間違った情報を載せるのもバカ。
Re:普通ワンタイムパスワードにするだろ (スコア:1)
まったくだ。
パスワードに数字4桁足すのと変わらないよコレ。
どうにか擁護してみると、
電話番号で判断するリスクベース認証、と言えなくもないが…
いや、それでもそういう時は「事前に登録した」PINじゃダメだ。
ワンタイムにしないと。
Re:普通ワンタイムパスワードにするだろ (スコア:1)
ワンタイムパスワードっていったって、そのパスワードをどうやって発行するのさ。
事前発行は現実的でないだろ。
それに4桁あれば十分かもしれないよ。
4桁分、力技で攻撃した場合、回数によって遮断するようにしているかもしれない。
まあ、どうせなら090/080 * 8桁の方がさらによいとは思うが。
Re: (スコア:0)
Googleみたいにタイムベースでいいじゃん。
Re: (スコア:0)
Googleみたいにタイムベースって何?
旧端末がなくても大丈夫なの?
Re: (スコア:0)
Googleの2段階認証ね。1分ごとにコードが生成されるアレ。使ってないの?やばいよ?
https://www.google.co.jp/intl/ja/landing/2step/ [google.co.jp]
もし端末なくしても登録時に10通りのパスワードをもらってるはずだから、そちらで動かせる。
Re: (スコア:0)
もし端末なくしても登録時に10通りのパスワードをもらってるはずだから、そちらで動かせる。
よく考えられているね。
毎回、携帯で認証なんて面倒じゃないかと思ってたけど、一度、登録したPCでは確認コードはいらないようにもできる [google.co.jp]んだね。
電話番号をPINにするのに比べて劣っている点があるとすれば、LINEユーザが
もし端末なくしても登録時に10通りのパスワードをもらってるはずだから
パスワードをメモってくれるか心もとないところだなあ。
Re: (スコア:0)
今回は、わざわざ「4桁」って、暗証番号の収集の為、なんだから実装やセキュリティなんてどうでもいいんだよ。
何%かは、銀行の暗証番号と同じにするだろう。
少し前に、「今までメールアドレス登録&パスワード設定をしたことが無く、今回初めて設定する方も本スタンプをダウンロードできます」
と、PCからアクセスする必要がない人にも、メールアドレスの登録させてメールアドレス収集してるんだから。
Re: (スコア:0)
One Time Passwordに対応できないなら
せめてOpen IDにすれば良いのに。。
Re: (スコア:0)
OTP導入しようにも、ほとんどの場合、そのOTP使う機器とLINE使う機器が同一なんだから、耐タンパ性に難があるだろ
LINEごときの為にトークン持つのも面倒
とはいえ、その結果が4桁PINコードってのは冗談としか思えないレベル
PINコードって何だっけ? (スコア:2)
見た感じ、ユーザが任意に設定可能な4ケタの数字のようなのだけど、もすぬごい違和感が。
Re: (スコア:0)
personal identification number、暗証番号の事。
「ユーザが任意に設定可能な4ケタの数字」ってのが一般的で8桁とか任意桁とかは珍しいと思いますが。
それともRAS症候群的違和感?
Re:PINコードって何だっけ? (スコア:2)
ふつーにTwitterのBOT辺りを動かす際に入れる方を思い出して、ユーザが設定不可能なモノだとばかり。
Re: (スコア:0)
普通って言葉の使い方、見直したほうがいいですよ
Re:PINコードって何だっけ? (スコア:2)
『ふつー』の使い方は普通に適切。
4桁の数字で (スコア:2, 参考になる)
個人情報とキャッシュカードの暗証番号が紐付けられる未来が見える
Re:4桁の数字で (スコア:1)
これに「参考になる」モデをつけたら犯人です!
セキュリティつったって、LINE自体が (スコア:0)
いや、何でもない
Re: (スコア:0)
国際基準を満たした最高レベルの暗号技術
国際基準を満たした最高レベルの暗号技術
Lineは安心ですよね
Re: (スコア:0)
あはははは
Re: (スコア:0)
完璧なのは報道や関係団体への根回しなんだろうなぁ
なんでいつまでも規制や指導されないのか不思議
Re: (スコア:0)
マジレスすっと、規制するルールがないからでしょう。だから指導すらできない。
国家が自国内企業に必要とあらば個人情報も含めた情報提供を提出させることは割りと普通で、
#ちゃんと手順踏んでれば携帯電話会社も警察に位置情報とか出すよ
LINEの情報が云々はそのレベルの話が主体です。
#不特定の第三者が情報盗み放題の穴があるって訳ではないはず
#ああでもそういう話でも規制する法律はないね~
#そんなのがあったら世のあらゆるOSが酷い事にwww
そこに突っ込むには「法律で個人の重要な情報と定められたものは、国の許可なしに国外に持ち出してはならない」っつーレベルの
法律が必要なわけで、まあwww上では現状のままでは不可能なわけですよ。
#そういやロシア政府が…
認証トライ回数が制限されてなければ意味なし。 (スコア:0)
たった9999通りしかないので、クラックなんて超簡単でしょう。
10回くらい失敗したら、アカウントの停止をするようにしないと駄目でしょ。
Re:認証トライ回数が制限されてなければ意味なし。 (スコア:1)
Re: (スコア:0)
Re: (スコア:0)
誕生日攻撃が使えるので10回でアカウント停止でも十分実用的に攻撃できますな
Re: (スコア:0)
0000
1111
1234
9999
もしくは
誕生日
銀行の暗証番号
ってことで、後者がヒットしたら重大な漏洩になるな。
スタンプ (スコア:0)
スタンプって、いくら特製だとか言っても使わない人間には全く意味がないよね。
それでしか連絡取れなくなった友人もいるからLINEは使うけど、スタンプは正直、無くていい。
Re: (スコア:0)
Re: (スコア:0)
スタンプがヒットしたのは、可愛いからではなく、気持ち悪いかららしい。
そこが「無難な空気」の携帯絵文字と決定的に違うところなんだとか。
要するに相手の意識を引くための記号(悪い意味で)。
たとえるなら、匂いすぎる香水とか、キツすぎる化粧とか、奇抜すぎるファンション。
なので嫌う人間がいるのは仕方ない。最初から万人ウケするツールじゃないんだもん。
名簿屋とLINEのデータ (スコア:0)