パスワードを忘れた? アカウント作成
12073237 story
プライバシ

スラドに聞け:Webサービスでの「電話番号登録」はセキュリティ強化につながるのか 45

ストーリー by hylom
電話番号を使い分けることも視野に 部門より
あるAnonymous Coward 曰く、

最近FacebookやTwitterで、「セキュリティ強化」を目的に電話番号の登録を求められるようになっている(ITmediaの記事:Twitter、登録時の電話番号認証を「テスト中」ITmediaの別記事:Facebook、ユーザーに携帯電話番号の登録を要請)。しかし、これは本当にセキュリティ強化につながるのだろうか?

SMSなどを使った2段階認証が毎回必要になる、などなら話は別だが、たとえば電話番号+パスワードでのログインが可能になるというレベルであれば、逆にセキュリティが低下するのではと思ってしまうのだが。

皆様のご意見はいかがだだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ユーザーアカウントのセキュリティじゃなくて、サービス全体としてのセキュリティだな。

    本人確認を今よりしっかりさせることで、犯罪に使用されたりすることを抑止しようとしてるんだろう。
    それを看板に挙げるとイメージダウンになるからこういう表現になったんじゃなかろうか。
  • by nemui4 (20313) on 2015年05月21日 7時40分 (#2818038) 日記

    今のままに比べると、成りすましや複数アカウントでのアレコレを防ぐには良さそうですね。
    .
    >「電話番号が公開されることはありません」「他のユーザーは電話番号からあなたを見つけることができますが、設定ページにてこれらの設定をいつでも変更することができます」と書かれている。
    .
    ダガシカシ
    どっかで漏れてタレントや有名人の電話番号がさらされる絵図を安易に予想してしまう。
    暇な奴が適当に当たりつけて電話番号で検索しまくるか、総当たりで検索しまくるscript投入するbotとかの登場も安易に予想してしまった。

    • by Anonymous Coward

      タレントや有名人はTwitter登録用の携帯をプライベートとは別に持つのはどうでしょう?
      公式アカウントならマネージャの携帯番号を登録するのも可

  • スマホに2つの電話番号しよう!スマホアプリで使える050番号のIP電話会社まとめ
    http://matome.naver.jp/odai/2141422316615929101 [naver.jp]

    2つ目の電話番号を持てるサービスで番号を得て、電話登録に使えば
    お互いにwinwinになれると思っている。

    #050番号拒否するサービスあったけど

    • by Anonymous Coward
      リンク先を見ると、Twitterの方は登録時にSMSによる認証が必要、Facebookの方は「携帯電話番号を確認する」となっていますので、050ではダメそうです。
  • SMS受信できないと登録できないが,私が登録したいと思うものに遭遇したことはないのでまだ困ってないですが,
    もし全世界的に「強制登録」が広まったら契約を変更する必要がありますね.

  • by sakamoto (8009) on 2015年05月21日 9時50分 (#2818093) 日記
    有名な巨大サービスが見え見えの嘘で人をだましてくれているので、コンピュータサービスに安全は無いと教えてくれるし、ずぶの素人でも納得してくれると思う。 GMailに緊急用の携帯電話のメールアドレスを入れろと言われて、作るだけ作って、全く使われてなかったメールアドレスを入れたら、そこから大量のSPAMの嵐が続いたことがある。別の無効なアドレスに変更した今でもSPAMは来るけど、まあ、高い勉強代だったかな。
    --
    -- 哀れな日本人専用(sorry Japanese only) --
    • by nim (10479) on 2015年05月21日 12時38分 (#2818181)

      spamは嫌だけど、SPAMが沢山届くのなら、今すぐ登録します!

      親コメント
      • by Anonymous Coward

        んな訳ないだろ
        ( ・ω・)_W(°ω°) スパーン

    • by Anonymous Coward

      > GMailに緊急用の携帯電話のメールアドレスを入れろと言われて、作るだけ作って、
      > 全く使われてなかったメールアドレスを入れたら、
      > そこから大量のSPAMの嵐が続いたことがある。

      またネタ小僧がいる。

  • by Anonymous Coward on 2015年05月21日 7時31分 (#2818034)

    こういうように格安電話付きSIMを買うときが着たのか・・・

  • by Anonymous Coward on 2015年05月21日 9時51分 (#2818094)

    アカウントのセキュリティを強化したいなら、パスワードを二つにするなり、
    長いものを強制すればいい。

    サービス提供に必須なもの以外の情報を取得(こちらからみると提供)させられるのは御免蒙る。
    なぜならサイト側から漏れた場合に本来漏れる必要のなかった電話番号まで漏れてしまう事になるのだから。

    有料サイトでもない、購入サイトでもない、有料アイテム購入の必要も提供もしてないサイトが
    「クレジット番号必須」と言ったら登録しますか?

    根本的に同じこと。その上電話番号は性質的に会社や友人などには公開せざるを得ないものだから、
    根本的な所ではセキュリティ対策にすらならない。

    情報漏えい時の被害を拡大させるだけ

    • by Anonymous Coward

      別に使いたく無ければつかわにゃいいと思うし、使うからには従えばいいと思う

      サービス提供側はセキュリティ向上といって対策に協力して欲しいんだろうけど、
      利用側が嫌だったら、指摘とか改善要求をすればよくって、ダメそうなら使わなければよいのだと思う
      所詮SNSのサービスなんだし、無料なんだし

      そろそろ利用者側は、自分のリテラシ向上とかモラル向上とか、自身の事をよく考えてからサービスを利用したりしないとだめじゃないか?

      • by Anonymous Coward

        >セキュリティ向上といって対策に協力
        で、それが「実際には何のセキュリティ対策にもならず、ユーザーのリスクを増加させるだけなのが電話番号要求」

        なんですが。電話番号なんて「”ある程度の身内”には公開情報なんですから」
        なのでパスワードと同じようなセキュリティ対策には本来使用してはいけない。

        本人以外が知りえる情報なのだから。
        その上で、「サイトから漏れた時には身内以外に漏れる」わけだ。

        実質的に「架空情報であるパスワード」とは違う「実用番号」である電話番号は漏れたからと言って
        そう簡単に変更できない。

        ユーザーのリスク増大にしかつながらない

  • by Anonymous Coward on 2015年05月21日 9時56分 (#2818095)

    複数のサービスでアカウントが異なる人を紐付けするためのキー情報として必要なんじゃないんですか?

  • by Anonymous Coward on 2015年05月21日 10時35分 (#2818115)

    要するに二段階認証の話じゃないの?

    「電話番号登録」と書くと誤解を招くだけ。そっちは本質では無い。

    • by Anonymous Coward on 2015年05月21日 10時54分 (#2818120)

      >要するに二段階認証の話じゃないの?
      ちがう。 単に電話番号情報がほしいだけ。それに合わせて「忘れてたらsmsで送れるよ」と後付してるだけ。

      リンク先を読めば一発でわかる。

      >6月に入って米LinkedInから650万件あまりのパスワード流出が発覚したり、音楽ストリーミングサイトLast.fmや出会い系サイトeHarmonyか>らも大量のパスワードが流出したとされており、各ソーシャルサービスはユーザーにパスワードの変更やスパムに関する注意を呼び掛けている。

      「大量にもれた」という事は「各ユーザーから漏れたのでなく、サイト側から漏れたのだから」
      各ユーザーからもれた場合は「各個人のもので止まり大量にならない」ので、「電話番号なんざなんの関係もない、サイトから漏れる情報が増えるだけでしかない。」

      親コメント
      • by Anonymous Coward

        >リンク先を読めば一発でわかる。
        いややっぱり分からん。
        「実験段階」というばかりで、詳細については何も書いてない。
        ひょっとしてそれってお前の妄想で書いてない?

        • by Anonymous Coward

          前※下産業で答えまで書いてるのに。

          実験段階とかなんとか一切関係ないんだが?

          そもそも「サイト側の不備、または内部犯行で漏れることの対策」と「電話番号の登録」に
          なんのつながりがある。

          電話番号登録やSMS認証で防げるのは「同一人物の2重登録」であって、
          サイト側のセキュリティ対策には一切ならない。

          起きたことの対策には全くならない。不要かつ証するユーザーのリスクを増大させるものでしかない

        • by Anonymous Coward

          Twitterについては、リンク先に「次の画面で入力が必要となる認証コードを記載したテキストメッセージをお送りします。」と記載されたスクリーンショットがあるよ。二段階認証じゃないかね。

          Facebookについては、「Facebookは、携帯電話番号を登録することにより、パスワードを忘れたり、アカウントをロックされてしまった場合、メールでの連絡ではなく、携帯のSMSでログイン方法を入手できるようになるとしている。」という文章がある。こちらはパスワードリセット目的に電話番号を登録させようとしているように見えなくもない。

  • by Anonymous Coward on 2015年05月21日 10時54分 (#2818121)

    タグが「slashdotに聞け!」になってるんですが、
    やっぱスラドじゃなくてslashdotに聞いた方がいいですか。

    • by Anonymous Coward

      さらにいえば、スラド民に聞けだろうなあ。
      スラドに聞いても返事ないです。

  • by Anonymous Coward on 2015年05月21日 11時10分 (#2818127)
    2014年12月16日 17時07分 UPDATE Twitter、登録時の電話番号認証を「テスト中」
    2012年06月15日 14時26分 UPDATE Facebook、ユーザーに携帯電話番号の登録を要請
    2012年06月07日 07時05分 UPDATE LinkedInのパスワード650万件が流出か、会員はパスワード変更を

    今日は,2015/05/21
  • by Anonymous Coward on 2015年05月21日 11時54分 (#2818155)

    友「ねえ俺さん、Twitbookやってる?」
    俺「やってないよ~」
    友「でも俺さんの電話番号と適当なパスワードでログインしたら、パスワードが違いますって」
    俺「くぁwせdrftgyふじこlp」

    • by Anonymous Coward

      なりすましの可能性もあるよ
      俺さんの携帯を1分借りられればできます

    • by Anonymous Coward

      > こういう状況は避けて頂きたい。

      ないでしょう。

      • 元コメントは10年以上前の認識で止まっているような気が。
        「アカウントが存在しない(入力が誤っている)」

        「アカウントは存在するが、パスワードが誤っている」
        を表示上区別せず、同じエラーとして扱うべきなのです。
        理由はまさに、元コメントの事態を避けるため。

        親コメント
        • by Anonymous Coward on 2015年05月21日 12時50分 (#2818188)

          パスワードを忘れたボタンを押すと、平文で過去に登録したパスワードが書かれた
          メールが送られてくるような20年前の認識で止まっているシステムが平然と存在
          している以上、まったく油断できません。

          親コメント
  • by Anonymous Coward on 2015年05月21日 12時20分 (#2818168)

    > たとえば電話番号+パスワードでのログインが可能になるというレベルであれば、
    > 逆にセキュリティが低下するのではと思ってしまうのだが。

    そうかもしれませんね。

    けど、そうはなってませんね。

  • by Anonymous Coward on 2015年05月21日 17時13分 (#2818355)
    Twitterはあまりにも簡単に、そして膨大な数のアカウントを作れてしまうから、フォロー数増加サービスとか変なのが集まってくる。悪意のあるTweetをするために一時的に捨てアカ作るとかね。
    そういうの防止に電話番号を要求して1つしか作れない、とするのは検討の余地はあると思う。
    現状どのサービスも基本的にメールアドレスで登録するから、メールアドレス1つで1アカウント。メールアドレスも容易に作れちゃうから、それよりもっと厳しい電話番号を使用する、というのはわからんでもないかな。
    ただまぁ、そういう説明じゃないっていうのがね。セキュリティのため、あなたのため、って言っちゃうのは。

    # 問題視するのはわかるが、世の中にはスマホのアドレス帳全部を渡しちゃう人がたくさんいる現実。守れそうにないよ・・・
  • by Anonymous Coward on 2015年05月21日 17時15分 (#2818356)

    会員制サイトの会員登録で最初にメール認証することが多いけど、法的に対応すべきトラブルが起きても必ずしも本人までたどり着けないのが問題。
    トラブル時に捜査令状を取れるのであれば不正運用されてない限り確実に持ち主に辿り付けるという完全性がキモなだけ

  • 1.まず、パスワードクラック(アカウント乗っ取り)に関して電話番号は有効か?・・・・否。

    そもそもパスワードが洩れて、アカウントにアクセスできた時点で、パスワードも登録されている電話番号も書き換えができる。
    乗っ取り犯の電話番号にされてしまえばおしまい。電話番号登録が書き換えされた時点で、自動送信も乗っ取り犯に届く。
    そういう意味で「今までのメールアドレス登録」とセキュリティレベルで変わらないのだ。
    では「登録された電話番号変更禁止にすればよいか?」・・・否。

    それはただの欠陥システムである。電話番号はめったに変えるものではないが、変えることもある。
    いたずらがひどいとか、そういう理由で。
    また、自分の意志とは関係なく、変更させられることもある(PHSの050→070変更など)
    変更できないのは欠陥でしかない。

    2.では、ログイン画面をユーザーID、パスワード、電話番号とすればセキュリティ強化になるか? 
     ・・・・否

    電話番号は「完全非公開情報」ではないからだ。「連絡手段ツール」という性質上、「ある程度の範囲には公開される事が前提の番号」だからだ。

    一部とはいえ公開情報である以上、セキュリティキーになりえない。結局は「完全非公開」のパスワードに頼っていることになる。

    電話番号登録なぞ、「ユーザー側のアカウントセキュリティになんら貢献しない」

    • 実際に、電話番号登録のサービスをご利用になったことがありますか?

      1については、Facebookで電話番号を変更しようとすると、メールで通知が来ます。
      それが、自分が行った操作でない場合は、ロールバック(その操作の無効化)が出来ます。

      また、通常アクセスしている端末以外からログインした場合は、必ずSMSで通知が来ます。

      2については、セキュリティキーとして電話番号が使われるわけではありません。
      認証に使うチャネルをインターネットとは別系統のものにすることで、セキュリティを強化することが狙いです。

      電話での音声入力とトーン信号入力、SMSでの認証を使う方法は、随分前から使われています。
      2008年ぐらいには、アクセスしてきたIPアドレスから地理情報を割り出して、アクセス時間とアクセスしてきた場所の距離の差分を見て不正なアクセスかどうかを見分ける手法と併用されています。
      主に、米国、ヨーロッパ、韓国を中心に、オンラインゲームの認証や、カード決済で額が大きい買い物についての本人確認として使われ始めて、今に至ります。

      インターネットとは別の系統での認証を設けることで、セキュリティ強度はぐんと増します。

      親コメント
      • by Anonymous Coward

        登録はしていません。サービス提供のために必要でないものまで提供するのは御免です。

        >1については、Facebookで電話番号を変更しようとすると、メールで通知が来ます。
        >それが、自分が行った操作でない場合は、ロールバック(その操作の無効化)が出来ます。

        だから?それなら先に乗っ取り犯は電話番号より先にメアド変更すればいいだけですね。

        で、メールアドレスと電話番号両方同時に変更する人もいる(ケータイのアドレス仕様でキャリア変更など)
        ので、両方同時に変更できないならそれもそれで欠陥でしかない。

        >認証に使うチャネルをインターネットとは別系統のものにすることで、セキュリティを強化することが狙いです。
        1で先に電話番号変更してれば無意味ですよね。 また、同じ地域からのアクセスに関しても。

        アクセス時に毎回発呼して、着信確認までしてれば別でしょうが、登録や変更時程度の発呼では1の問題は一切解決されません。
        オンラインゲームはやりませんが、カード決済で、買い物時に送られてきたことなんかありませんが。

        • メールアドレスの変更についても、電話番号同様に確認通知がSMSで入ります。

          カード決済に際して、電話確認が入るかどうかは、カード会社に依ります。

          もし、この仕組に欠陥があるということを証明されたいのであれば、実際に使ってみて検証されてから、具体的な事項で指摘されては如何でしょうか?

          使ってみてもいないのに、想像で論理を展開されても、何の証明にもならないと思います。

          親コメント
          • by Anonymous Coward

            >メールアドレスの変更についても、電話番号同様に確認通知がSMSで入ります。

            ですから、それだと「両方同時に変更が必要なときに問題」でしかない。
            そこまで書いたはずですが。

            乗っ取り犯としては、メアド、電話 同時に変更すればいいだけです。
            どちらか片方しか変更しない前提であなたが話している時点で反論にすらならないんですよ。

            本来の利用者がメアド、電話番号同時に変更したら、どうするのか。
            それが出来ないのならば(必ずどちらか古いものを保持してなければいけない)、本来の利用者からは欠陥でしかない。

        • by Anonymous Coward
          2段階認証使ったことないの?
          そもそもログインするのに登録した電話番号の端末が必要なので、その端末自体を盗まないと、そもそも電話番号変更も出来ませんよ。
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...