■ このスレッドは過去ログ倉庫に格納されています
【IT】アップルが「SMS認証」の標準化を提案。Googleはすでに受け入れ
- 1 :田杉山脈 ★:2020/02/02(日) 16:02:55 ID:CAP_USER.net
- アプリやWebサービスでの2要素認証(2段階認証)としては、携帯電話にSMSにより1回限りのワンタイムパスコード(OTP)を送る方式が主流の1つとなっています。
これはパスワードと、本物のユーザーだけが知りうる別の要素(この場合はワンタイムパスコード)を組み合わせてセキュリティを堅牢にする仕組みですが、現状ではメッセージがさまざまな形式を取る可能性があり、アプリやWebサイトがそれらを検出して情報を自動的に抽出することが困難となっています。
そうした2要素認証のワンタイムパスコードを含んだSMSメッセージにつき、アップルのWebkit(同社の標準ブラウザSafariの中核技術)エンジニアが標準化を提案していると報じられています。アップル側の提案は2つあり、1つはメッセージ自体にログインURLを追加することで、ワンタイムパスコードを含むSMSメッセージをWebサイトに関連付けることです。
もう1つの提案は、SMSメッセージの形式を標準化して、Webブラウザやその他のアプリがワンタイムパスコード入りの着信SMSを識別してURLも認識し、さらにワンタイムパスコードも抽出して、Webサイトのログインフィールドに自動入力できるようにすること。
これによりワンタイムパスコードの受信と入力のプロセスを自動化が実現できる、つまり「SMSメッセージが着信して問題が検出されなければ、直ちに自動ログインが行われる」わけです。それとともに人間がSMSメッセージを見る前に不正がないかどうかがチェックされるため、ユーザーが詐欺にひっかかって偽のフィッシングサイトにワンタイムパスコードを入力するリスクも排除できる仕組みです。
アップル開発者がワンタイムパスコード用のSMSメッセージとして提案しているフォーマットは、具体的には次のようなものです。
747723 is your WEBSITE authentication code.(747723はWebサイト認証コードです)
@ website.com#747723
最初の行は人間ユーザーを対象としており、SMSのワンタイムパスコードがどのWebサイトから送られてきたのかを判別できるようにするもの。2行目はWebブラウザやアプリによって処理され、ワンタイムパスコードを自動的に抽出して2要素ログイン操作を完了できるようにしています。
そして不一致があって自動入力が失敗した場合、人間ユーザーはWebサイトの実際のURLを確認して、本来ログインしようとしているサイトと比較できます。それら2つが食い違っている場合は、フィッシングサイトだと警告され、ログインを中止できるという流れです。
記事執筆時点では、Google Chromeのエンジニアはアップルの提案を受け入れているとのことです。ただしMozillaのFirefoxチームはまだ標準化に関して公式のフィードバックを提供していないと伝えられています。
すでにiOS 12以降にはセキュリティコード(SMSパスコード)の自動入力が導入されており、今回の提案もその延長上にあると推測できます。実際に主要Webブラウザにこの新フォーマットを読み取る機能が実装されれば、ワンタイムパスコードサービスを提供する各企業にも採用が広がり、iPhoneやその他スマートフォンでの2要素認証がより迅速かつセキュアとなるのかもしれません。
https://japanese.engadget.com/jp-2020-02-01-sms-google.html
- 2 :名刺は切らしておりまして:2020/02/02(日) 16:04:31 ID:DWrmpVij.net
- 海外を転々とする人のことも考慮してくれ。
電話番号なんてしょっちゅう変わるんだわ。
スマホに固有ID与えてそれで認証の方がマシだわ、、、
- 3 :名刺は切らしておりまして:2020/02/02(日) 16:10:33.75 ID:Cyv26NMD.net
- >>2
価値ないわ
そんな奴を相手にする人間も企業もいない
- 4 :名刺は切らしておりまして:2020/02/02(日) 16:26:25.37 ID:cg42WApL.net
- ヤフーもこれになってめんどいわ
- 5 :名刺は切らしておりまして:2020/02/02(日) 16:31:39.01 ID:FVo+3HDP.net
- データ通信のみでip電話しか無い月700円のSEのワシは無視ですかそうですか。
パソコンしか知らなかったワイが、初携帯のiphone持ってハード会社と通信会社と特定の機種に
紐付けされてるのをしってこうやって個人を認識してんのか面白いな、いや怖いなと思った。
パソコンと無線LANとプロバイダーとの関係ぐらいの方が気が楽やわ。
仕事先の全部上場超大手企業である元請けが下請けとの間にクラウド作って、
セキュリティ設定の資料のFAQに問:「スマホ持ってないんですけどどうしたらいいですか?」
答:「スマホを持ってください。」でワロタ。ジジイ下請け切り捨てにかかっとんな。
- 6 :名刺は切らしておりまして:2020/02/02(日) 16:40:38.91 ID:wjdiW0/z.net
- 本当の狙いは利用者と電話番号の紐付け
- 7 :名刺は切らしておりまして:2020/02/02(日) 16:46:21.78 ID:Cd8XTwTm.net
- >>5
別に怖くないのにw
社会不適合者の一種だな
リスクを異常に過大に感じてるわけだ
つまりはリスクを把握できてないだけの無能というわけよ
- 8 :名刺は切らしておりまして:2020/02/02(日) 16:48:41.88 ID:Ux+WE3O+.net
- アップルもグーグルもスマホを持っている
こいつをワンタップでリボ払いできる端末にしたいのかもな
そもそも楽天がなぜスマホをやりたがるのか、ということ
一流のエンジニアがリボ払い商法に噛もうとしてないだろうか?
- 9 :名刺は切らしておりまして:2020/02/02(日) 16:51:10.73 ID:Cd8XTwTm.net
- 紐付けされてもなんの不都合も無いわけだが
- 10 :名刺は切らしておりまして:2020/02/02(日) 16:58:22.21 ID:XNV9camk.net
- 確実にSMSが返ってくるならいいけど
ヤフーの認証なんかSMSが遅かったり返ってこなかったりして嫌になる
- 11 :名刺は切らしておりまして:2020/02/02(日) 17:01:49.18 ID:rtPRpQgH.net
- >>5
SMS使えるプランにしろよ
通話の有無は関係ない
- 12 :名刺は切らしておりまして:2020/02/02(日) 17:02:35.67 ID:9CBHcY6u.net
- ネットはよく使うけどスマホはほとんど使わない(大体バッグや寝室に放置)人間に取っては
結構面倒なんだよねこれ
銀行の決済とかリスクの高い物にはいいんだけど
- 13 :名刺は切らしておりまして:2020/02/02(日) 17:03:58.15 ID:KYGx3PEE.net
- SMSの料金って、送信側負担よね?
確認・認証が増えれば増えるほど、キャリアは儲かるね
- 14 :名刺は切らしておりまして:2020/02/02(日) 17:12:51.21 ID:ZLRRp0W6.net
- >>4 ヤフオクもこれで面倒くさくって退会希望ですよ
- 15 :名刺は切らしておりまして:2020/02/02(日) 17:19:22.73 ID:qCnsAOA7.net
- OTPもいいけど、FIDOが普及してくれ。
- 16 :名刺は切らしておりまして:2020/02/02(日) 17:20:19.48 ID:li/q6SsC.net
- >>2
それはAppleIDの認証方式ですね。
- 17 :名刺は切らしておりまして:2020/02/02(日) 17:22:39.58 ID:+SjJmx14.net
- SMSで認証するって時点で穴だらけだろ
- 18 :名刺は切らしておりまして:2020/02/02(日) 17:25:07.49 ID:cMdG8ewB.net
- >>5
お前みたいな貧乏人の個人情報欲しい会社は無いんだよ
いや、ソフトバンクは欲しいとさ
- 19 :名刺は切らしておりまして:2020/02/02(日) 17:25:52.70 ID:rtPRpQgH.net
- >>17
実際に穴だらけかどうかはどうでもいいんだよ
- 20 :名刺は切らしておりまして:2020/02/02(日) 17:27:40.32 ID:2jcCVR9z.net
- >>6
それな
- 21 :名刺は切らしておりまして:2020/02/02(日) 17:33:48.73 ID:02KAAYgU.net
- SM認証に見えた
- 22 :名刺は切らしておりまして:2020/02/02(日) 17:35:58.05 ID:Q4+mJOgs.net
- 面倒臭いからやだ。
- 23 :名刺は切らしておりまして:2020/02/02(日) 17:40:39.61 ID:yergu9MY.net
- >>12
そのうち決済専門のカードぐらいの大きさのフェルカとかQRコード表示するような物はでてくるんじゃね?
電子ペーパー使って
- 24 :名刺は切らしておりまして:2020/02/02(日) 17:50:13.05 ID:gw1XEYmV.net
- >>2
番号変える必要ないだろ
- 25 :名刺は切らしておりまして:2020/02/02(日) 17:51:15.65 ID:gw1XEYmV.net
- >>24
あー違う違う
国ごとにSIM変えて番号変わるのか
- 26 :名刺は切らしておりまして:2020/02/02(日) 17:52:01.00 ID:gw1XEYmV.net
- そんな奴にお手軽認証なんて本末転倒
- 27 :名刺は切らしておりまして:2020/02/02(日) 18:27:38.80 ID:l7Fm/Th3.net
- 固定電話に対応しろ
- 28 :名刺は切らしておりまして:2020/02/02(日) 19:00:48 ID:88qngzFE.net
- SMS認証とかやる限りペイペイもなんとかペイも
使いません!!
- 29 :名刺は切らしておりまして:2020/02/02(日) 19:21:55 ID:hvLNp1nd.net
- 勝手にSMSから暗証番号拾って入力された状態にしてくれるんだから
凄く楽じゃない?
- 30 :名刺は切らしておりまして:2020/02/02(日) 19:23:33 ID:rP/I1uX3.net
- Apple端末の場合は同一 Apple ID 下の iMessage に SMS が同時に配信されるからこの仕組みは本当に便利
- 31 :名刺は切らしておりまして:2020/02/02(日) 19:25:03 ID:JvNxDLMX.net
- >>2
何をもってあなたを信用すれば良いのですか?
- 32 :名刺は切らしておりまして:2020/02/02(日) 19:42:32.99 ID:kOGmVh0A.net
- これSMSの内容をアプリが全部読みますってこと?
- 33 :名刺は切らしておりまして:2020/02/02(日) 19:55:02 ID:ExZyf7K7.net
- セキュアじゃなくてもいいのかね
悪い人たちは喜びそうだけど
- 34 :名刺は切らしておりまして:2020/02/02(日) 20:21:41 ID:kTTdKTI+.net
- 2階のPC使っててスマホは1階っていう状況で
ヤフーにsms認証求められると、
地味にめんどくさい、地味にイラッとくるw
- 35 :名刺は切らしておりまして:2020/02/02(日) 20:22:28 ID:atpEwbl3.net
- これが当たり前になると
携帯持ってないやつが詰む
- 36 :名刺は切らしておりまして:2020/02/02(日) 22:00:26.56 ID:rP/I1uX3.net
- >>32
ワンタイムパスワードを盗まれる間もなく自動で入力する規格なのに何の心配をしてるんだ?
- 37 :名刺は切らしておりまして:2020/02/02(日) 22:18:18.16 ID:ZsufIfDL.net
- アップルから電話かかって来る様に選択できなかったかな?
- 38 :名刺は切らしておりまして:2020/02/02(日) 22:27:30.66 ID:Oo1fZyoV.net
- 複数端末あるとこれ面倒臭い
- 39 :名刺は切らしておりまして:2020/02/02(日) 23:22:41.34 ID:vq/WE5ub.net
- 誰も得しないし大してセキュリティが上がるわけでも無い
簡単に悪用される気休め
- 40 :名刺は切らしておりまして:2020/02/02(日) 23:32:39.92 ID:ucnGbX3E.net
- >>23
トークンというものがあってだな
- 41 :名刺は切らしておりまして:2020/02/02(日) 23:33:51.62 ID:mZx2V3K1.net
- 【Twitterに投稿し、話題】「結婚はエラい、子供がいればもっとエライ」と思う人へ
http://imp-gt.cdonh.com/1578909749
- 42 :名刺は切らしておりまして:2020/02/03(月) 03:31:53 ID:rfMvM89k.net
- >>13
受信側も負担してる
- 43 :名刺は切らしておりまして:2020/02/03(月) 03:36:05 ID:rfMvM89k.net
- >>36
間に処理ぶっこまれて遅延500msとしてお前は気付けるのか?
そんだけあればかなりの事が出来るわけなんだが
- 44 :名刺は切らしておりまして:2020/02/03(月) 03:55:46 ID:ipKN/9Cb.net
- >>43
SMS(えすえむえす)をじゅしんできるスマホ(すまほ)のメッセージ(めっせーじ)アプリ(あぷり)をつくっているかいしゃはせかいにいくつあるのかな?
こたえてみよう!
- 45 :名刺は切らしておりまして:2020/02/03(月) 04:13:11.11 ID:rfMvM89k.net
- >>44
いや、受信したこと、ブラウザに送ろうとしたこと検知してフックしてブラウザ遅延させてそのスキにどっかに送ればいいだけ
直接受信とか、そういう馬鹿な考え今の時代に無いよ(笑)
- 46 :名刺は切らしておりまして:2020/02/03(月) 04:15:02.83 ID:rfMvM89k.net
- >>44
あーつまり会社の数はわからんが先の動きをするアプリ作れる技術者は星の数ほどいる
で回答としてくれ
- 47 :名刺は切らしておりまして:2020/02/03(月) 04:20:18 ID:IsgwfCja.net
- 2段階認証もいいんだけどさ
3年前、iPhone買い替えたとき
Appleのサーバ落ちてて
全然コード送られてこなくて
半日アクティベーション出来ずに泣いた。
- 48 :名刺は切らしておりまして:2020/02/03(月) 06:01:02 ID:kewnkd7e.net
- こないだ普段使ってない端末でgoogleにログインしようとしたらsms認証まったく送ってこなかったのに標準化かよー
- 49 :名刺は切らしておりまして:2020/02/03(月) 07:44:44.18 ID:dweXNupp.net
- SMS無しのデータSIMが使い物にならなくなるな
- 50 :名刺は切らしておりまして:2020/02/03(月) 07:47:54.39 ID:P8go028D.net
- smsでキーを送るのは、送信側を成りすましできるからセキュリティの強度が低いって言ってなかったか?Google神様が
- 51 :名刺は切らしておりまして:2020/02/03(月) 08:31:27.76 ID:lOSyRGVG.net
- >>34
メールで受信にしておいてパソでも確認できるようにしておけば楽
- 52 :名刺は切らしておりまして:2020/02/03(月) 08:42:07.06 ID:F+X2wQV4.net
- >>5
スマホを持ってください
敷地内持ち込み禁止ですがどうしたらいいですか?
敷地外で使ってください
- 53 :名刺は切らしておりまして:2020/02/03(月) 11:25:56 ID:LO1gH8X5.net
- 日本企業「SMS認証?ツイッター?何それおいしいの?」
- 54 :名刺は切らしておりまして:2020/02/03(月) 15:46:44 ID:EOvB7RFF.net
- >>27
AWSとか、電話でも認証コード教えてくれるサービスはある
英語だけどなw
- 55 :名刺は切らしておりまして:2020/02/03(月) 17:52:17.25 ID:gs3tNgK6.net
- ネットバンクみたくソフトウエアトークンで行けると思うよ。あと、小型のハードウエアトークンでもいいと思う。
各社共通のトークンがあるにはあるが、NTTともう一社くらいしか無いかもね。
SMS認証は名無しのSIM買ってくれば、成り済ましがでいきるから、危ないよ。簡単に悪用できる。
あと、借金の返済の代わりに複数の携帯電話を契約して渡している悪い人がいるからね。
SMS認証は、絶対にやめた方が良い。
- 56 :名刺は切らしておりまして:2020/02/03(月) 18:03:01.27 ID:NDCeUhMF.net
- >>55
SMS認証ってのはパスワードと登録した電話番号との2段階認証の事だから
適当なSIM刺したところで成り済ましなんか出来ない
- 57 :名刺は切らしておりまして:2020/02/03(月) 19:51:45 ID:5lSco4AH.net
- 携帯忘れて出社して、二段階認証を自分の携帯に紐付けしていたときの絶望。
- 58 :名刺は切らしておりまして:2020/02/03(月) 20:50:01.50 ID:sQozM9d3.net
- 手入力の方がセキュリティが強固だと思うがな
- 59 :名刺は切らしておりまして:2020/02/04(火) 20:28:54.04 ID:8fFSRH2r.net
- wifiオンリーやパケットオンリーで困るねん
総レス数 59
15 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★