1: 田杉山脈 ★ 2020/02/02(日) 16:02:55 ID:CAP_USER.net
アプリやWebサービスでの2要素認証(2段階認証)としては、携帯電話にSMSにより1回限りのワンタイムパスコード(OTP)を送る方式が主流の1つとなっています。

これはパスワードと、本物のユーザーだけが知りうる別の要素(この場合はワンタイムパスコード)を組み合わせてセキュリティを堅牢にする仕組みですが、現状ではメッセージがさまざまな形式を取る可能性があり、アプリやWebサイトがそれらを検出して情報を自動的に抽出することが困難となっています。

そうした2要素認証のワンタイムパスコードを含んだSMSメッセージにつき、アップルのWebkit(同社の標準ブラウザSafariの中核技術)エンジニアが標準化を提案していると報じられています。アップル側の提案は2つあり、1つはメッセージ自体にログインURLを追加することで、ワンタイムパスコードを含むSMSメッセージをWebサイトに関連付けることです。

もう1つの提案は、SMSメッセージの形式を標準化して、Webブラウザやその他のアプリがワンタイムパスコード入りの着信SMSを識別してURLも認識し、さらにワンタイムパスコードも抽出して、Webサイトのログインフィールドに自動入力できるようにすること。

これによりワンタイムパスコードの受信と入力のプロセスを自動化が実現できる、つまり「SMSメッセージが着信して問題が検出されなければ、直ちに自動ログインが行われる」わけです。それとともに人間がSMSメッセージを見る前に不正がないかどうかがチェックされるため、ユーザーが詐欺にひっかかって偽のフィッシングサイトにワンタイムパスコードを入力するリスクも排除できる仕組みです。

アップル開発者がワンタイムパスコード用のSMSメッセージとして提案しているフォーマットは、具体的には次のようなものです。
747723 is your WEBSITE authentication code.(747723はWebサイト認証コードです)
@ website.com#747723


最初の行は人間ユーザーを対象としており、SMSのワンタイムパスコードがどのWebサイトから送られてきたのかを判別できるようにするもの。2行目はWebブラウザやアプリによって処理され、ワンタイムパスコードを自動的に抽出して2要素ログイン操作を完了できるようにしています。

そして不一致があって自動入力が失敗した場合、人間ユーザーはWebサイトの実際のURLを確認して、本来ログインしようとしているサイトと比較できます。それら2つが食い違っている場合は、フィッシングサイトだと警告され、ログインを中止できるという流れです。

記事執筆時点では、Google Chromeのエンジニアはアップルの提案を受け入れているとのことです。ただしMozillaのFirefoxチームはまだ標準化に関して公式のフィードバックを提供していないと伝えられています。

すでにiOS 12以降にはセキュリティコード(SMSパスコード)の自動入力が導入されており、今回の提案もその延長上にあると推測できます。実際に主要Webブラウザにこの新フォーマットを読み取る機能が実装されれば、ワンタイムパスコードサービスを提供する各企業にも採用が広がり、iPhoneやその他スマートフォンでの2要素認証がより迅速かつセキュアとなるのかもしれません。
https://japanese.engadget.com/jp-2020-02-01-sms-google.html

2: 名刺は切らしておりまして 2020/02/02(日) 16:04:31 ID:DWrmpVij.net
海外を転々とする人のことも考慮してくれ。
電話番号なんてしょっちゅう変わるんだわ。
スマホに固有ID与えてそれで認証の方がマシだわ、、、

3: 名刺は切らしておりまして 2020/02/02(日) 16:10:33.75 ID:Cyv26NMD.net
>>2
価値ないわ
そんな奴を相手にする人間も企業もいない

4: 名刺は切らしておりまして 2020/02/02(日) 16:26:25.37 ID:cg42WApL.net
ヤフーもこれになってめんどいわ

5: 名刺は切らしておりまして 2020/02/02(日) 16:31:39.01 ID:FVo+3HDP.net
データ通信のみでip電話しか無い月700円のSEのワシは無視ですかそうですか。

パソコンしか知らなかったワイが、初携帯のiphone持ってハード会社と通信会社と特定の機種に
紐付けされてるのをしってこうやって個人を認識してんのか面白いな、いや怖いなと思った。
パソコンと無線LANとプロバイダーとの関係ぐらいの方が気が楽やわ。

仕事先の全部上場超大手企業である元請けが下請けとの間にクラウド作って、
セキュリティ設定の資料のFAQに問:「スマホ持ってないんですけどどうしたらいいですか?」
答:「スマホを持ってください。」でワロタ。ジジイ下請け切り捨てにかかっとんな。

7: 名刺は切らしておりまして 2020/02/02(日) 16:46:21.78 ID:Cd8XTwTm.net
>>5
別に怖くないのにw
社会不適合者の一種だな
リスクを異常に過大に感じてるわけだ
つまりはリスクを把握できてないだけの無能というわけよ

11: 名刺は切らしておりまして 2020/02/02(日) 17:01:49.18 ID:rtPRpQgH.net
>>5
SMS使えるプランにしろよ
通話の有無は関係ない

6: 名刺は切らしておりまして 2020/02/02(日) 16:40:38.91 ID:wjdiW0/z.net
本当の狙いは利用者と電話番号の紐付け

8: 名刺は切らしておりまして 2020/02/02(日) 16:48:41.88 ID:Ux+WE3O+.net
アップルもグーグルもスマホを持っている
こいつをワンタップでリボ払いできる端末にしたいのかもな
そもそも楽天がなぜスマホをやりたがるのか、ということ

一流のエンジニアがリボ払い商法に噛もうとしてないだろうか?

9: 名刺は切らしておりまして 2020/02/02(日) 16:51:10.73 ID:Cd8XTwTm.net
紐付けされてもなんの不都合も無いわけだが

10: 名刺は切らしておりまして 2020/02/02(日) 16:58:22.21 ID:XNV9camk.net
確実にSMSが返ってくるならいいけど
ヤフーの認証なんかSMSが遅かったり返ってこなかったりして嫌になる

12: 名刺は切らしておりまして 2020/02/02(日) 17:02:35.67 ID:9CBHcY6u.net
ネットはよく使うけどスマホはほとんど使わない(大体バッグや寝室に放置)人間に取っては
結構面倒なんだよねこれ
銀行の決済とかリスクの高い物にはいいんだけど

http://anago.2ch.sc/test/read.cgi/bizplus/1580626975/