AppleによるSMS経由での認証コードの標準化案、規格草稿が公開される 19
ストーリー by hylom
進捗 部門より
進捗 部門より
Anonymous Coward曰く、
ネット銀行やSNSへのログインに必要なワンタイムパスコード(OTP)の複雑な手続きを簡略化するため、AppleのエンジニアはSMS認証の標準化を提案している(過去記事)。Appleは1月にこの規格を提案したが、これが4月2日付でW3CのWeb Platform Incubator Community Group(WICG)で草稿(draft)として公開された。
この走行には、Googleも協力していることが記されている。ただし、Mozillaはこの規格のサポートについて現時点では関心を示していない。
この提案では、2要素認証(2FA)が現在抱える問題を修正することを目的としている。現在は送信されるコードがWebサイトごとに異なるフォーマットを採用している。これをApple案では構造化し、同一化することを提案している(ZDNet、iPhone Mania、Slashdot)。
SMS限定? (スコア:1)
電子メールにも同じような認証がある。それを無視するのは理由があるのか?
Re: (スコア:0)
電子メールではPCで受信するのが簡単すぎるからでしょ。違う端末で受信しなくては2要素が意味をなさない
Re:SMS限定? (スコア:1)
受信は簡単だが入力がめんどくさい。
利用者が行う認証コードの入力を簡略化する標準化だよね。
Re: (スコア:0)
SMS(≒携帯電話)が重宝されるのは、特性として一定の「個人」認証として成立しているからであって
単純にメールでは要件を満たさない。
Re:SMS限定? (スコア:1)
Amazonでメールからワンタイムパスワードの入力を求められることとの、違いがわからない。
Re: (スコア:0)
それはAmazonに言えば?w
Re:SMS限定? (スコア:2)
Appleが標準化しない理由をAmazonに聞くものではない。
問題はそこじゃねぇ (スコア:0)
PCで操作しているのにスマホの操作を要求されたり、コードを手入力させられるのが面倒くさい。
コードのフォーマットとかどうでもいいんだよ。
せめてスマホのタップのみでPC側の認証がクリアされるくらいは自動化してくれ
Re:問題はそこじゃねぇ (スコア:2)
それは「PCで利用していて、スマホSMSでの二要素認証を省力化してほしい」という、別端末での二要素認証に対する要望。
今回のは「スマホで利用していて、スマホSMSでの二要素認証を省力化してほしい」という、同一端末でのHTTPとSMSという二要素認証への要望で。この仕様に合致し、ブラウザが対応していたら、承認タップすら不要で自動で次に進むようになる。
PC利用での省力化要望もわかるけど、今時の世間一般ではスマホでの省力化の方が要望が大きいと思う。
#Firefox Syncとかで、「PCのFirefoxで認証操作」→「スマホがSMS受信」→「スマホのFirefoxがコードを受け取り、Firefox Syncで共有」→「PCのFirefoxでSyncから受け取ったコードを送信」みたいな流れで、今回の仕組みを使ってPCでの二要素認証フローの省力化も技術的には不可能ではなさそう。「技術的に不可能ではない」と「実際に実装される」の間には大きな壁があるけど。
Re: (スコア:0)
自動化のためには認証コードが機械可読であることが必要でそのためにはフォーマットの標準化が必要なのだが。
スラド民の知能もここまで落ちぶれたのか…。
Re: (スコア:0)
同一企業のサービスだけならコードのフォーマットが分かってるので現状でも実現できるだろ(例えばMSアカウントにおけるAuthenticatorアプリ)
にもかかわらず、ワンタイムパスワードをアプリ指定して取得させて手入力を強制するサービスがあるんだよ(例えば三菱UFJのオンラインバンキングにおけるワンタイムパスワードアプリ)
他人を罵倒するなら調べてからにしろよ…
Re: (スコア:0)
いやそれは手入力求めるべきでは?
Re: (スコア:0)
そこに標準化等は不要だから、現状でも自動化されたサービスが有る訳ですけど。
現状で実現しているサービスが有るのに
>スラド民の知能もここまで落ちぶれたのか…。
等と良くもまあドヤれるものだなあ。
普通に生活していれば見たことぐらい有るだろうに。
Re: (スコア:0)
Googleはそれをやってるんですが、Googleアカウントに登録されている
すべての端末(Wi-Fiだけの端末にも)に
「ログインを許可するにはタップしてください」の通知が来るので、
(ヘルプを見ると、どの端末に送るかは設定可能らしい)
デフォルトで登録したスマホにしか届かない
SMS認証のほうが安全じゃね? という気もします
2 段階認証プロセスのスマートフォン プロンプトですばやくログインする
https://support.google.com/accounts/answer/7026266?co=GENIE.Platform%3... [google.com]
Re: (スコア:0)
マイクロソフトのに段階認証アプリもできる。
認証したい端末の画面上に表示された項目と同じ項目を2段階認証アプリ側でタップした上で承認をタップすると認証される。
Re: (スコア:0)
うむ。
コスト掛けてコンシェルジュ入れろよとは思う
接続環境や時間帯の情報で認証難度を人間が判断して門番する様な感じで
そのうちAIに任せられるくらいケーススタディ貯まるだろうし
Re: (スコア:0)
Re: (スコア:0)
条件によって認証難度が変わること自体は、今でもすでにGoogleはやっているようだ。疑わしいとreCHAPCHAが出るらしいよ。
海外SMS問題 (スコア:0)
日本の場合、一部キャリアが発番した番号をMNPすると海外SMSが受け取れないって
問題があるのだけど解決させられるのかな。
「SMSが受け取れて当たり前」って風潮になるとなかなかきついものがあるぞ。