スラドに聞け:Webサービスでの「電話番号登録」はセキュリティ強化につながるのか 45
ストーリー by hylom
電話番号を使い分けることも視野に 部門より
電話番号を使い分けることも視野に 部門より
あるAnonymous Coward 曰く、
最近FacebookやTwitterで、「セキュリティ強化」を目的に電話番号の登録を求められるようになっている(ITmediaの記事:Twitter、登録時の電話番号認証を「テスト中」、ITmediaの別記事:Facebook、ユーザーに携帯電話番号の登録を要請)。しかし、これは本当にセキュリティ強化につながるのだろうか?
SMSなどを使った2段階認証が毎回必要になる、などなら話は別だが、たとえば電話番号+パスワードでのログインが可能になるというレベルであれば、逆にセキュリティが低下するのではと思ってしまうのだが。
皆様のご意見はいかがだだろうか。
確かにセキュリティかもしれんが (スコア:4, 興味深い)
本人確認を今よりしっかりさせることで、犯罪に使用されたりすることを抑止しようとしてるんだろう。
それを看板に挙げるとイメージダウンになるからこういう表現になったんじゃなかろうか。
Re:確かにセキュリティかもしれんが (スコア:2)
サービスとして見た場合、本名利用が前提のFacebookは認証や検索に当然と思うが、匿名利用や一人複数アカウントも多いTwitterに必須なプライベート項目は合わないな。
端末1台で仕事用とプライベート用のアカウントを使い分ける作家とか多いだろうに。
あまり個人情報収集していると、そのうち端末のアドレス帳を勝手にアップロードされると用心してしまう。
Re:確かにセキュリティかもしれんが (スコア:2)
自己追記 Twitterに個人情報は認証済みアカウントや候補者のみでいいと思う。
Re: (スコア:0)
作家?
突然何の話をしだした?
仕事とプライベートのアカウントを分けるのなんて誰でもやるんじゃないの?
Re: (スコア:0)
はい殺意
Re: (スコア:0)
キモカス無職アニヲタ?
予想 (スコア:2)
今のままに比べると、成りすましや複数アカウントでのアレコレを防ぐには良さそうですね。
.
>「電話番号が公開されることはありません」「他のユーザーは電話番号からあなたを見つけることができますが、設定ページにてこれらの設定をいつでも変更することができます」と書かれている。
.
ダガシカシ
どっかで漏れてタレントや有名人の電話番号がさらされる絵図を安易に予想してしまう。
暇な奴が適当に当たりつけて電話番号で検索しまくるか、総当たりで検索しまくるscript投入するbotとかの登場も安易に予想してしまった。
Re: (スコア:0)
タレントや有名人はTwitter登録用の携帯をプライベートとは別に持つのはどうでしょう?
公式アカウントならマネージャの携帯番号を登録するのも可
ちょっとお金かかるけど (スコア:2)
スマホに2つの電話番号しよう!スマホアプリで使える050番号のIP電話会社まとめ
http://matome.naver.jp/odai/2141422316615929101 [naver.jp]
2つ目の電話番号を持てるサービスで番号を得て、電話登録に使えば
お互いにwinwinになれると思っている。
#050番号拒否するサービスあったけど
Re: (スコア:0)
SMS受信可能な電話番号を所有していない (スコア:2)
SMS受信できないと登録できないが,私が登録したいと思うものに遭遇したことはないのでまだ困ってないですが,
もし全世界的に「強制登録」が広まったら契約を変更する必要がありますね.
社会への警鐘 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:社会への警鐘 (スコア:1)
spamは嫌だけど、SPAMが沢山届くのなら、今すぐ登録します!
Re: (スコア:0)
んな訳ないだろ
( ・ω・)_W(°ω°) スパーン
Re: (スコア:0)
> GMailに緊急用の携帯電話のメールアドレスを入れろと言われて、作るだけ作って、
> 全く使われてなかったメールアドレスを入れたら、
> そこから大量のSPAMの嵐が続いたことがある。
またネタ小僧がいる。
変更しづらい物でそういうのしないで欲しい (スコア:0)
こういうように格安電話付きSIMを買うときが着たのか・・・
Re:変更しづらい物でそういうのしないで欲しい (スコア:1)
というか、複数所持でなければ新たなアカウントでもちゃんと使い回せるような仕組みがきちんと整っていれば満足です。
Re: (スコア:0)
「電話はかかってこない」「番号を偽りたくない」って条件ならSMS付きSIMで十分じゃね?
Re: (スコア:0)
電話付き(+700) でなくて
SMS付き(+150位) でいんじゃね
ならないし、リスク増大につながるだけだと思う。 (スコア:0)
アカウントのセキュリティを強化したいなら、パスワードを二つにするなり、
長いものを強制すればいい。
サービス提供に必須なもの以外の情報を取得(こちらからみると提供)させられるのは御免蒙る。
なぜならサイト側から漏れた場合に本来漏れる必要のなかった電話番号まで漏れてしまう事になるのだから。
有料サイトでもない、購入サイトでもない、有料アイテム購入の必要も提供もしてないサイトが
「クレジット番号必須」と言ったら登録しますか?
根本的に同じこと。その上電話番号は性質的に会社や友人などには公開せざるを得ないものだから、
根本的な所ではセキュリティ対策にすらならない。
情報漏えい時の被害を拡大させるだけ
Re: (スコア:0)
別に使いたく無ければつかわにゃいいと思うし、使うからには従えばいいと思う
サービス提供側はセキュリティ向上といって対策に協力して欲しいんだろうけど、
利用側が嫌だったら、指摘とか改善要求をすればよくって、ダメそうなら使わなければよいのだと思う
所詮SNSのサービスなんだし、無料なんだし
そろそろ利用者側は、自分のリテラシ向上とかモラル向上とか、自身の事をよく考えてからサービスを利用したりしないとだめじゃないか?
Re: (スコア:0)
>セキュリティ向上といって対策に協力
で、それが「実際には何のセキュリティ対策にもならず、ユーザーのリスクを増加させるだけなのが電話番号要求」
なんですが。電話番号なんて「”ある程度の身内”には公開情報なんですから」
なのでパスワードと同じようなセキュリティ対策には本来使用してはいけない。
本人以外が知りえる情報なのだから。
その上で、「サイトから漏れた時には身内以外に漏れる」わけだ。
実質的に「架空情報であるパスワード」とは違う「実用番号」である電話番号は漏れたからと言って
そう簡単に変更できない。
ユーザーのリスク増大にしかつながらない
これって (スコア:0)
複数のサービスでアカウントが異なる人を紐付けするためのキー情報として必要なんじゃないんですか?
二段階認証? (スコア:0)
要するに二段階認証の話じゃないの?
「電話番号登録」と書くと誤解を招くだけ。そっちは本質では無い。
Re:二段階認証? (スコア:1)
>要するに二段階認証の話じゃないの?
ちがう。 単に電話番号情報がほしいだけ。それに合わせて「忘れてたらsmsで送れるよ」と後付してるだけ。
リンク先を読めば一発でわかる。
>6月に入って米LinkedInから650万件あまりのパスワード流出が発覚したり、音楽ストリーミングサイトLast.fmや出会い系サイトeHarmonyか>らも大量のパスワードが流出したとされており、各ソーシャルサービスはユーザーにパスワードの変更やスパムに関する注意を呼び掛けている。
「大量にもれた」という事は「各ユーザーから漏れたのでなく、サイト側から漏れたのだから」
各ユーザーからもれた場合は「各個人のもので止まり大量にならない」ので、「電話番号なんざなんの関係もない、サイトから漏れる情報が増えるだけでしかない。」
Re: (スコア:0)
>リンク先を読めば一発でわかる。
いややっぱり分からん。
「実験段階」というばかりで、詳細については何も書いてない。
ひょっとしてそれってお前の妄想で書いてない?
Re: (スコア:0)
前※下産業で答えまで書いてるのに。
実験段階とかなんとか一切関係ないんだが?
そもそも「サイト側の不備、または内部犯行で漏れることの対策」と「電話番号の登録」に
なんのつながりがある。
電話番号登録やSMS認証で防げるのは「同一人物の2重登録」であって、
サイト側のセキュリティ対策には一切ならない。
起きたことの対策には全くならない。不要かつ証するユーザーのリスクを増大させるものでしかない
Re: (スコア:0)
Twitterについては、リンク先に「次の画面で入力が必要となる認証コードを記載したテキストメッセージをお送りします。」と記載されたスクリーンショットがあるよ。二段階認証じゃないかね。
Facebookについては、「Facebookは、携帯電話番号を登録することにより、パスワードを忘れたり、アカウントをロックされてしまった場合、メールでの連絡ではなく、携帯のSMSでログイン方法を入手できるようになるとしている。」という文章がある。こちらはパスワードリセット目的に電話番号を登録させようとしているように見えなくもない。
あのう (スコア:0)
タグが「slashdotに聞け!」になってるんですが、
やっぱスラドじゃなくてslashdotに聞いた方がいいですか。
Re: (スコア:0)
さらにいえば、スラド民に聞けだろうなあ。
スラドに聞いても返事ないです。
最近? (スコア:0)
2012年06月15日 14時26分 UPDATE Facebook、ユーザーに携帯電話番号の登録を要請
2012年06月07日 07時05分 UPDATE LinkedInのパスワード650万件が流出か、会員はパスワード変更を
今日は,2015/05/21
こういう状況は避けて頂きたい。 (スコア:0)
友「ねえ俺さん、Twitbookやってる?」
俺「やってないよ~」
友「でも俺さんの電話番号と適当なパスワードでログインしたら、パスワードが違いますって」
俺「くぁwせdrftgyふじこlp」
Re: (スコア:0)
なりすましの可能性もあるよ
俺さんの携帯を1分借りられればできます
Re: (スコア:0)
> こういう状況は避けて頂きたい。
ないでしょう。
Re:こういう状況は避けて頂きたい。 (スコア:2)
元コメントは10年以上前の認識で止まっているような気が。
「アカウントが存在しない(入力が誤っている)」
と
「アカウントは存在するが、パスワードが誤っている」
を表示上区別せず、同じエラーとして扱うべきなのです。
理由はまさに、元コメントの事態を避けるため。
Re:こういう状況は避けて頂きたい。 (スコア:2)
パスワードを忘れたボタンを押すと、平文で過去に登録したパスワードが書かれた
メールが送られてくるような20年前の認識で止まっているシステムが平然と存在
している以上、まったく油断できません。
そうかもしれませんね。 (スコア:0)
> たとえば電話番号+パスワードでのログインが可能になるというレベルであれば、
> 逆にセキュリティが低下するのではと思ってしまうのだが。
そうかもしれませんね。
けど、そうはなってませんね。
アカウント作成障壁 (スコア:0)
そういうの防止に電話番号を要求して1つしか作れない、とするのは検討の余地はあると思う。
現状どのサービスも基本的にメールアドレスで登録するから、メールアドレス1つで1アカウント。メールアドレスも容易に作れちゃうから、それよりもっと厳しい電話番号を使用する、というのはわからんでもないかな。
ただまぁ、そういう説明じゃないっていうのがね。セキュリティのため、あなたのため、って言っちゃうのは。
# 問題視するのはわかるが、世の中にはスマホのアドレス帳全部を渡しちゃう人がたくさんいる現実。守れそうにないよ・・・
確実なメール認証 (スコア:0)
会員制サイトの会員登録で最初にメール認証することが多いけど、法的に対応すべきトラブルが起きても必ずしも本人までたどり着けないのが問題。
トラブル時に捜査令状を取れるのであれば不正運用されてない限り確実に持ち主に辿り付けるという完全性がキモなだけ
電話番号登録が何のセキュリティ対策にもならない事を証明する。 (スコア:0)
1.まず、パスワードクラック(アカウント乗っ取り)に関して電話番号は有効か?・・・・否。
そもそもパスワードが洩れて、アカウントにアクセスできた時点で、パスワードも登録されている電話番号も書き換えができる。
乗っ取り犯の電話番号にされてしまえばおしまい。電話番号登録が書き換えされた時点で、自動送信も乗っ取り犯に届く。
そういう意味で「今までのメールアドレス登録」とセキュリティレベルで変わらないのだ。
では「登録された電話番号変更禁止にすればよいか?」・・・否。
それはただの欠陥システムである。電話番号はめったに変えるものではないが、変えることもある。
いたずらがひどいとか、そういう理由で。
また、自分の意志とは関係なく、変更させられることもある(PHSの050→070変更など)
変更できないのは欠陥でしかない。
2.では、ログイン画面をユーザーID、パスワード、電話番号とすればセキュリティ強化になるか?
・・・・否
電話番号は「完全非公開情報」ではないからだ。「連絡手段ツール」という性質上、「ある程度の範囲には公開される事が前提の番号」だからだ。
一部とはいえ公開情報である以上、セキュリティキーになりえない。結局は「完全非公開」のパスワードに頼っていることになる。
電話番号登録なぞ、「ユーザー側のアカウントセキュリティになんら貢献しない」
Re:電話番号登録が何のセキュリティ対策にもならない事を証明する。 (スコア:3)
実際に、電話番号登録のサービスをご利用になったことがありますか?
1については、Facebookで電話番号を変更しようとすると、メールで通知が来ます。
それが、自分が行った操作でない場合は、ロールバック(その操作の無効化)が出来ます。
また、通常アクセスしている端末以外からログインした場合は、必ずSMSで通知が来ます。
2については、セキュリティキーとして電話番号が使われるわけではありません。
認証に使うチャネルをインターネットとは別系統のものにすることで、セキュリティを強化することが狙いです。
電話での音声入力とトーン信号入力、SMSでの認証を使う方法は、随分前から使われています。
2008年ぐらいには、アクセスしてきたIPアドレスから地理情報を割り出して、アクセス時間とアクセスしてきた場所の距離の差分を見て不正なアクセスかどうかを見分ける手法と併用されています。
主に、米国、ヨーロッパ、韓国を中心に、オンラインゲームの認証や、カード決済で額が大きい買い物についての本人確認として使われ始めて、今に至ります。
インターネットとは別の系統での認証を設けることで、セキュリティ強度はぐんと増します。
Re: (スコア:0)
登録はしていません。サービス提供のために必要でないものまで提供するのは御免です。
>1については、Facebookで電話番号を変更しようとすると、メールで通知が来ます。
>それが、自分が行った操作でない場合は、ロールバック(その操作の無効化)が出来ます。
だから?それなら先に乗っ取り犯は電話番号より先にメアド変更すればいいだけですね。
で、メールアドレスと電話番号両方同時に変更する人もいる(ケータイのアドレス仕様でキャリア変更など)
ので、両方同時に変更できないならそれもそれで欠陥でしかない。
>認証に使うチャネルをインターネットとは別系統のものにすることで、セキュリティを強化することが狙いです。
1で先に電話番号変更してれば無意味ですよね。 また、同じ地域からのアクセスに関しても。
アクセス時に毎回発呼して、着信確認までしてれば別でしょうが、登録や変更時程度の発呼では1の問題は一切解決されません。
オンラインゲームはやりませんが、カード決済で、買い物時に送られてきたことなんかありませんが。
Re:電話番号登録が何のセキュリティ対策にもならない事を証明する。 (スコア:2)
メールアドレスの変更についても、電話番号同様に確認通知がSMSで入ります。
カード決済に際して、電話確認が入るかどうかは、カード会社に依ります。
もし、この仕組に欠陥があるということを証明されたいのであれば、実際に使ってみて検証されてから、具体的な事項で指摘されては如何でしょうか?
使ってみてもいないのに、想像で論理を展開されても、何の証明にもならないと思います。
Re: (スコア:0)
>メールアドレスの変更についても、電話番号同様に確認通知がSMSで入ります。
ですから、それだと「両方同時に変更が必要なときに問題」でしかない。
そこまで書いたはずですが。
乗っ取り犯としては、メアド、電話 同時に変更すればいいだけです。
どちらか片方しか変更しない前提であなたが話している時点で反論にすらならないんですよ。
本来の利用者がメアド、電話番号同時に変更したら、どうするのか。
それが出来ないのならば(必ずどちらか古いものを保持してなければいけない)、本来の利用者からは欠陥でしかない。
Re: (スコア:0)
そもそもログインするのに登録した電話番号の端末が必要なので、その端末自体を盗まないと、そもそも電話番号変更も出来ませんよ。