【これは酷い】Yahoo!Japanが1年かけて開発したパスワード不要なシステム

これで解決!パスワード「思い出せない」問題|けさのクローズアップ|NHKニュース おはよう日本
抜本的な改革ができると聞いて、ちょっと見てきました。

その一方で、パスワード忘れなどによる再設定の処理は1日2万件以上に上ります。
利用者の負担を減らすことができないか。
1年以上かけて開発したのが、パスワードを覚える必要がない、スマートフォンでの認証システムです。

Yahoo!が一年以上かけて開発したシステム!これは期待できるのか ・ω・


利用者がログインする際には、スマートフォンの電話番号を入力します。
すると、そのスマートフォンにヤフーからショートメッセージで6桁の番号が送られてきます。
これを入力すればログインできる仕組みです。
送られてくる番号は毎回違うため、スマートフォンさえしっかり管理しておけば、セキュリティは守られます。
パスワードを覚える必要もありません。

ヤフー IDソリューション本部 伊藤雄哉マネージャー
「“脱パスワード”していきたい。
パスワードレスと呼んでいるが、パスワードのない認証を提供して、よりよくサービスをお客様に使っていただきたい。」

ヤフーがパスワード使わない認証方式導入、SMSで確認コード送信 | 日経 xTECH(クロステック)

ヤフーは2017年4月20日、「Yahoo!
JAPAN」サービスへパスワードを使わずにログインする新たな認証方式を導入したと発表した。パスワードの代わりに、会員の携帯電話へSMSを使い数字
6桁のワンタイムパスワード(確認コード)を送信し、会員がヤフーのスマートフォンアプリやWebサイトにそれを入力する。会員がパスワードを忘れてログ
インできなくなったり、リスト型攻撃で不正ログインされたりといったトラブルを防ぐ

2要素認証で使われる、追加認証機能だけをつかって認証するシステム

なに、この、サイドブレーキだけ使って、エンジンブレーキ使わない 見たいなシステム ・ω・

よく考えてみてください。
大概のSMS って通知メッセージが届くと、スマホロックしてても、内容見えるんですよね ・ω・
電話番号を知ってる人が、悪用した場合、ショルダーハッキングだけでログインできてしまうわけですよ。

スマートフォンを落として、拾った人が、SIMカード引っこ抜いて、同じキャリアの端末につないで、電話番号調べれば、これも悪用できてしまいます。

後は、6桁の数字入れればいいわけですから、3回リトライできると仮定して、 総当りすれば17万人に1人の確率でログインできてしまうわけですね ・ω・

いやぁ、これはひどい。これが日本の大手通信会社のセキュリティ意識なんですね。

そもそも、二要素認証の、追加認証で使われる部分が、単純化されてるのは、ID / Password で認証されている前提があるから簡略化されてるのであって、単独で使われた場合、セキュリティ担保できないことも分からんのでしょうか?

さすが、 アホー!ジャパンですね・ω・
そもそも、こんなあほなシステム1年以上かけないと作れないとか、馬鹿じゃないかと思うんですがね!

いやぁ、ここまでくるとセキュリティ の リテラシーが低い人の個人情報わざと漏洩させるためにやってるんじゃないかって気もします・ω・

最後にもうひとつ このシステムの大きな欠陥を指摘すると、
普通のパスワードの場合ハッシュでサーバーにデータを保存されていてパスワードを類推するには膨大な計算が必要で、実質解析できないことを利用してるのですが、この場合6桁の数字って、サーバー側で生で管理してるでしょう?
つまり、パスワードセッションのサーバーの一部の情報にアクセスさえできれば、簡単にログインできてしまうことを意味します。XSSの脆弱性などで、DBにアクセスできてしまえば、簡単にハッキングできるわけです。

普通発想しないような、親切設計ですね・ω・!

おすすめ

1件の返信

  1. 特命 より:

    iOS10のリッチ通知を使えば丸見えですよ…

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です