「ドコモ口座&銀行口座」本人認証問題によって、今後、2要素認証を設けるサービスが増えそうだ。
こんな社会問題になっているからには、決済に関係ないサービスでも右へならえで、とりあえず的対応をしてくるのではないか?、どのサービスも個人情報管理軽視との吊し上げは避けたい。
他方、私のような一般利用者側は、ログインセキュリティを知り直す機会にしようではないか。

2段階認証、3つの用途

A.そのサービスにログインするため(例えばショッピングサイト)
これはよく目にする。Google や Microsoft、 amazon、ドコモなどなど
ブラウザからcookieをクリアしなければ、以後のログイン時は2段階認証は省略されるやつ。IPアドレスの相違も2段階認証のトリガーに関係しているようだ。

B.そのサービスで重要な取引を実行するため(例えば銀行のホームページ)
例えば、振込実行や住所変更など悪用されると重篤な被害が発生する取引は、ログインしているだけでは実行できない。オンラインでの申し出人が本人かどうか2つめの要素で念押しを求める。

C.他のサービス(例えばドコモ口座)のホームページ上から、事前に紐づけ連携してあるB.から実際に取引実行するためのB.の2段階認証
クレジットカード業界でいうところの「3Dセキュア」と呼ばれる手法。
こっちは、操作する場所がC側のホームページ上なので、B.の認証が必要とはピンとこない。
例えば下の画像は、C側ヤフオクで商品落札後、そのホームページでの支払い時にB.銀行口座から即時に口座振替を実行する場面。事前に紐づけ連携してあってもB.から2段階認証を要求されるので、B.銀行口座から配布されたトークン専用デバイスのワンタイムパスワードを入れている様子。
スクリーンショット 2020-09-22 045438


「ドコモ口座&銀行口座」問題では

C.の場面の仕組みは、C.側の事業者とB.側の事業者の双方が共同してつくるものだ。
「ドコモ口座&銀行口座」問題ではC.の場面で、B.があってもそれを使わずに、キャッシュカードの4桁暗証番号でやっていた甘い銀行が突破された。
B.は銀行側でネット取引する人が使うものだから、ネット利用申込みのない人には無縁なもの。
C.の利用者の間口を狭めないために、万人が持つキャッシュカードの4桁暗証番号でもOKとしていた、と勘ぐられたりもする。実際はB.を使うシステム対応を気づかないふりでもしたのかも知れない。

だから逆にネット利用申込みのない人も被害被って、そういう方は通帳現物を記帳しないと判明しない皮肉な結果になっている。
今の時代、銀行のセキュリティは横並びでないということがよく分かった。

2段階認証「先」

さて、この2段階認証、各サービスで入り混じって、今でもこのサービスの2段階認証「先」はどこに来るんだっけ状態
  • スマホ画面にダイレクト
  • 2段階認証専用アプリ
  • スマホSMS
  • スマホキャリアのEメール①
  • Eメール②
  • Eメール③
  • 音声電話
  • トークン専用デバイス
  • トークン専用スマホアプリ
3957892_s
自分の備忘リストをチェックしてみると、いろいろありすぎ。
Eメール型に至っては、2段階認証「先」の2段階認証が2段階認証「元」のEメールアドレスだった、なんて我ながらアホな設定も見つかった。金庫の中にその鍵を入れてしまうやつ。
ブラウザのcookie を全クリアーしたら、どっちもログインできない悲喜劇もあり得た設定だ。

さあ、どう整理し直そうか?
かといって、更に入り組んでしまうのも嫌だ。

各サービス、2段階認証「先」を選べるのだが、手法はEメールのみのサービスも多い。運用コスト安。
ただし、Eメールは物理的に現物所持するものではないため、厳密な本人確認とは言えないとの指摘も多い。
んー、物理的なトークン専用デバイスが増えても困る。
2段階認証専用アプリは対象サービスの範囲がよくわからん。スマホ機種変更では一大事になりそうだ。
おっと、キャリア無関係なAndroid端末に2段階認証専用アプリを入れて集約運用する手もあるか。
スマホSMSはキャリアを変えても、携帯電話番号さえ引き継げば、2段階認証先の変更は避けられるのかしら?

まずはEメール型をどう整理するか

キャリアのEメール①に集中させたほうがいいのか?、そのリスクは?、キャリアを変えたら全滅だな。

それとも、2段階認証が不要なEメールサービス④を1つ新たに持っておくか?、他の2段階認証の受信専用として。
2段階認証受信専用とするEメールサービスは、パスワードはもちろん必要だが、それ自体の2段階認証の方は設定無くとも許容できそうな気がする。
そこへ①②③から条件指定の自動転送を送る。①②③はこのまま分散させておき④は悲喜劇予防として。
パスコード自体は有効時間が決まっているものだが、その受信メールも時限削除の設定をしておく。
例えば、こんなEメールサービス。

どうなんでしょう?これはリスクになるのか?、パスコードの拡散リスクは限定的?
Firefox Send のように、信用ある事業者が暗号化して一時保管後、時限削除してくれるメールサービスはないかしら?
また、これが発揮される悲喜劇の場面なんて来るのか?、労力 vs 効用 をどう判断する?

考える程、入り組んできてしまう。いい頭の体操にはなる。

これ新商売になるんじゃない?、次のソリューションがでるまでの一定期間は。

パスワード地獄の後世は、
2段階認証地獄がやってきた。
各サービスの手法はバラバラ。
2段階認証地獄問題に世の中疲弊しきった頃にまた各ブラウザやパスワードマネージャが整理する機能を搭載しはじめるのではないか?

遠い未来は、都度ちょぴっとピンで血ー抜いてDNA認証ログインになったりして。
髪の毛1本あればこれもヤバイか...
スクリーンショット 2020-09-19 05-23-47




ヤフーのパスワードレスは、2段階認証Eメール型を、あえて1段階にしたもの。