Apple、SMS経由での認証コードの標準化を提案、入力自動化が目的 33
ストーリー by hylom
悪用される恐れはどうなのだろうか 部門より
悪用される恐れはどうなのだろうか 部門より
Anonymous Coward曰く、
Appleが、SMSを使ったワンタイムパスコード認証のフォーマットを標準化したい意向を示しているという(ZDNet、AppleInsider、Slashdot)。
昨今ではSMS経由で認証に使用するパスコードを送信する二要素認証を採用するサービスが増えている。認証時にサービス側があらかじめ登録しておいた電話番号にパスコードが記載されたSMSを送信し、利用者はそのパスコードをサービス側で入力することで認証が行われる。Appleはこの送信されるSMSのフォーマットをそろえることで、端末がSMSを受信した際に自動的にパスコードの入力を行えるようにする仕組みを構築できると主張している。
具体的なフォーマットとしては、次のようにSMSメッセージにパスコードとともに発信元URLを記述する、という形が考えられているようだ。
747723は[サイト名]認証コードです。
@ website.com#747723メッセージの1行目は、着信メッセージを説明するための人間が読めるテキストで、2行目はプログラムがパスコードとそれを使用するサービスを識別するための文字列で、この場合は「747723」と「website.com」がそれに当たる。AppleとGoogleはこの提案に同意しているが、Mozillaはこの標準化に関する公式声明は出していない模様。
自動化しやすい=悪用者も自動化しやすい (スコア:2, 興味深い)
ので反対ですね。
むしろそこでワンクッション置かないと。
Re:自動化しやすい=悪用者も自動化しやすい (スコア:2)
自動化=悪用者の付け入る隙がなくなるので賛成です。
SMS認証の自動化はフィッシング詐欺のリスクを大きく低減するものです。一般的に、自動化による悪用リスクが手動入力の悪用リスクを上回ることはありません。
同様に認証情報の自動送信を行うことのできるパスワードマネージャの例で考えると、ドメイン譲渡やドメイン名ハイジャックによりドメイン管理者が入れ替わっているのに認証情報を自動送信してしまい不正ログインに悪用されるケースが考えられますが、ワンクッション置いたり手動入力にしたところで防げるとは考えにくいです。