パスワードを忘れた? アカウント作成
14157911 story
インターネット

AppleによるSMS経由での認証コードの標準化案、規格草稿が公開される 19

ストーリー by hylom
進捗 部門より

Anonymous Coward曰く、

ネット銀行やSNSへのログインに必要なワンタイムパスコード(OTP)の複雑な手続きを簡略化するため、AppleのエンジニアはSMS認証の標準化を提案している(過去記事)。Appleは1月にこの規格を提案したが、これが4月2日付でW3CのWeb Platform Incubator Community Group(WICG)で草稿(draft)として公開された

この走行には、Googleも協力していることが記されている。ただし、Mozillaはこの規格のサポートについて現時点では関心を示していない。

この提案では、2要素認証(2FA)が現在抱える問題を修正することを目的としている。現在は送信されるコードがWebサイトごとに異なるフォーマットを採用している。これをApple案では構造化し、同一化することを提案している(ZDNetiPhone ManiaSlashdot)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by asagaoxx (49029) on 2020年04月10日 23時24分 (#3795370) 日記

    電子メールにも同じような認証がある。それを無視するのは理由があるのか?

  • by Anonymous Coward on 2020年04月10日 17時04分 (#3795131)

    PCで操作しているのにスマホの操作を要求されたり、コードを手入力させられるのが面倒くさい。
    コードのフォーマットとかどうでもいいんだよ。
    せめてスマホのタップのみでPC側の認証がクリアされるくらいは自動化してくれ

    • それは「PCで利用していて、スマホSMSでの二要素認証を省力化してほしい」という、別端末での二要素認証に対する要望。

      今回のは「スマホで利用していて、スマホSMSでの二要素認証を省力化してほしい」という、同一端末でのHTTPとSMSという二要素認証への要望で。この仕様に合致し、ブラウザが対応していたら、承認タップすら不要で自動で次に進むようになる。

      PC利用での省力化要望もわかるけど、今時の世間一般ではスマホでの省力化の方が要望が大きいと思う。

      #Firefox Syncとかで、「PCのFirefoxで認証操作」→「スマホがSMS受信」→「スマホのFirefoxがコードを受け取り、Firefox Syncで共有」→「PCのFirefoxでSyncから受け取ったコードを送信」みたいな流れで、今回の仕組みを使ってPCでの二要素認証フローの省力化も技術的には不可能ではなさそう。「技術的に不可能ではない」と「実際に実装される」の間には大きな壁があるけど。

      親コメント
    • by Anonymous Coward

      自動化のためには認証コードが機械可読であることが必要でそのためにはフォーマットの標準化が必要なのだが。
      スラド民の知能もここまで落ちぶれたのか…。

      • by Anonymous Coward

        同一企業のサービスだけならコードのフォーマットが分かってるので現状でも実現できるだろ(例えばMSアカウントにおけるAuthenticatorアプリ)
        にもかかわらず、ワンタイムパスワードをアプリ指定して取得させて手入力を強制するサービスがあるんだよ(例えば三菱UFJのオンラインバンキングにおけるワンタイムパスワードアプリ)
        他人を罵倒するなら調べてからにしろよ…

        • by Anonymous Coward

          いやそれは手入力求めるべきでは?

      • by Anonymous Coward

        そこに標準化等は不要だから、現状でも自動化されたサービスが有る訳ですけど。

        現状で実現しているサービスが有るのに
        >スラド民の知能もここまで落ちぶれたのか…。
        等と良くもまあドヤれるものだなあ。

        普通に生活していれば見たことぐらい有るだろうに。

    • by Anonymous Coward

      Googleはそれをやってるんですが、Googleアカウントに登録されている
      すべての端末(Wi-Fiだけの端末にも)に
      「ログインを許可するにはタップしてください」の通知が来るので、
      (ヘルプを見ると、どの端末に送るかは設定可能らしい)
      デフォルトで登録したスマホにしか届かない
      SMS認証のほうが安全じゃね? という気もします

      2 段階認証プロセスのスマートフォン プロンプトですばやくログインする
      https://support.google.com/accounts/answer/7026266?co=GENIE.Platform%3... [google.com]

      • by Anonymous Coward

        マイクロソフトのに段階認証アプリもできる。
        認証したい端末の画面上に表示された項目と同じ項目を2段階認証アプリ側でタップした上で承認をタップすると認証される。

    • by Anonymous Coward

      うむ。
      コスト掛けてコンシェルジュ入れろよとは思う
      接続環境や時間帯の情報で認証難度を人間が判断して門番する様な感じで
      そのうちAIに任せられるくらいケーススタディ貯まるだろうし

      • by Anonymous Coward
        美人秘書(リアル)がやってくれるのんがいいなあ
      • by Anonymous Coward

        条件によって認証難度が変わること自体は、今でもすでにGoogleはやっているようだ。疑わしいとreCHAPCHAが出るらしいよ。

  • by Anonymous Coward on 2020年04月12日 0時32分 (#3795846)

    日本の場合、一部キャリアが発番した番号をMNPすると海外SMSが受け取れないって
    問題があるのだけど解決させられるのかな。
    「SMSが受け取れて当たり前」って風潮になるとなかなかきついものがあるぞ。

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...