アカウント名:
パスワード:
1.まず、パスワードクラック(アカウント乗っ取り)に関して電話番号は有効か?・・・・否。
そもそもパスワードが洩れて、アカウントにアクセスできた時点で、パスワードも登録されている電話番号も書き換えができる。乗っ取り犯の電話番号にされてしまえばおしまい。電話番号登録が書き換えされた時点で、自動送信も乗っ取り犯に届く。そういう意味で「今までのメールアドレス登録」とセキュリティレベルで変わらないのだ。では「登録された電話番号変更禁止にすればよいか?」・・・否。
それはただの欠陥システムである。電話番号はめったに変えるものではないが、変えることもある。
実際に、電話番号登録のサービスをご利用になったことがありますか?
1については、Facebookで電話番号を変更しようとすると、メールで通知が来ます。それが、自分が行った操作でない場合は、ロールバック(その操作の無効化)が出来ます。
また、通常アクセスしている端末以外からログインした場合は、必ずSMSで通知が来ます。
2については、セキュリティキーとして電話番号が使われるわけではありません。認証に使うチャネルをインターネットとは別系統のものにすることで、セキュリティを強化することが狙いです。
電話での音声入力とトーン信号入力、SMSで
登録はしていません。サービス提供のために必要でないものまで提供するのは御免です。
>1については、Facebookで電話番号を変更しようとすると、メールで通知が来ます。>それが、自分が行った操作でない場合は、ロールバック(その操作の無効化)が出来ます。
だから?それなら先に乗っ取り犯は電話番号より先にメアド変更すればいいだけですね。
で、メールアドレスと電話番号両方同時に変更する人もいる(ケータイのアドレス仕様でキャリア変更など)ので、両方同時に変更できないならそれもそれで欠陥でしかない。
>認証に使うチャネルをインターネットとは別系統のものにすることで、セキュリティを強化することが狙いです。1で先に電話番号変更してれば無意味ですよね。 また、同じ地域からのアクセスに関しても。
アクセス時に毎回発呼して、着信確認までしてれば別でしょうが、登録や変更時程度の発呼では1の問題は一切解決されません。オンラインゲームはやりませんが、カード決済で、買い物時に送られてきたことなんかありませんが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
電話番号登録が何のセキュリティ対策にもならない事を証明する。 (スコア:0)
1.まず、パスワードクラック(アカウント乗っ取り)に関して電話番号は有効か?・・・・否。
そもそもパスワードが洩れて、アカウントにアクセスできた時点で、パスワードも登録されている電話番号も書き換えができる。
乗っ取り犯の電話番号にされてしまえばおしまい。電話番号登録が書き換えされた時点で、自動送信も乗っ取り犯に届く。
そういう意味で「今までのメールアドレス登録」とセキュリティレベルで変わらないのだ。
では「登録された電話番号変更禁止にすればよいか?」・・・否。
それはただの欠陥システムである。電話番号はめったに変えるものではないが、変えることもある。
Re: (スコア:3)
実際に、電話番号登録のサービスをご利用になったことがありますか?
1については、Facebookで電話番号を変更しようとすると、メールで通知が来ます。
それが、自分が行った操作でない場合は、ロールバック(その操作の無効化)が出来ます。
また、通常アクセスしている端末以外からログインした場合は、必ずSMSで通知が来ます。
2については、セキュリティキーとして電話番号が使われるわけではありません。
認証に使うチャネルをインターネットとは別系統のものにすることで、セキュリティを強化することが狙いです。
電話での音声入力とトーン信号入力、SMSで
Re: (スコア:0)
登録はしていません。サービス提供のために必要でないものまで提供するのは御免です。
>1については、Facebookで電話番号を変更しようとすると、メールで通知が来ます。
>それが、自分が行った操作でない場合は、ロールバック(その操作の無効化)が出来ます。
だから?それなら先に乗っ取り犯は電話番号より先にメアド変更すればいいだけですね。
で、メールアドレスと電話番号両方同時に変更する人もいる(ケータイのアドレス仕様でキャリア変更など)
ので、両方同時に変更できないならそれもそれで欠陥でしかない。
>認証に使うチャネルをインターネットとは別系統のものにすることで、セキュリティを強化することが狙いです。
1で先に電話番号変更してれば無意味ですよね。 また、同じ地域からのアクセスに関しても。
アクセス時に毎回発呼して、着信確認までしてれば別でしょうが、登録や変更時程度の発呼では1の問題は一切解決されません。
オンラインゲームはやりませんが、カード決済で、買い物時に送られてきたことなんかありませんが。
Re:電話番号登録が何のセキュリティ対策にもならない事を証明する。 (スコア:0)
そもそもログインするのに登録した電話番号の端末が必要なので、その端末自体を盗まないと、そもそも電話番号変更も出来ませんよ。