Jun 18, 2013

二要素認証 Yahoo! JAPAN, Microsoft, Google, Facebook 他

「先日、2200万件の Yahoo! JAPAN ID が流出・・・中略・・・148万件のパスワードが流出した可能性があることが判明しました。」だそうです。
http://rocketnews24.com/2013/05/24/332064/

で、下記サイトで、自分のID(+パスワードも?)が流出したかどうかを確かめられるようです。
https://login.yahoo.co.jp/config/login?.src=www&.done=http%3A%2F%2Fdocs.id.yahoo.co.jp%2Fconfirmation.html

『Yahoo!のパスワード流出、実は「他サイトが危険」?』
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20130524-OYT8T00882.htm

後半の「危険なのはYahoo!ではなく、他サイトでのパスワード・秘密の質問と答」以降が参考になります。

> 問題は、他のサイト・サービスでのIDパスワード・・・「ユーザーが共通したパスワードを使っていた場合に・・・ログインされたり・・・不正ログインされてしまう可能性がある」
>
> ユーザー側の対策としては・・・
> 1:流出の対象となっているか確認する
> 2:(他のサービスで)共通している(ID/メールアドレスと)パスワードを使っていたら即変更
> 3:プレミアム会員の場合はクレジットカードの利用明細を確認
...
> 流出の対象ではない人も、「共通したパスワードはダメ」ということを覚えておきたい。

秘密の質問は、かえってリスクがありそうですね。


2段階認証が解決方向性かと思います。まとめサイトをメモしておきます。

『2段階認証を使おう~「Microsoft」「Google」「Yahoo! JAPAN」「Facebook」』
http://security-t.blog.so-net.ne.jp/2013-05-31   (セキュリティ通信 2013.05.31)

『2段階認証ノススメ(まとめ)』
http://negi.hatenablog.com/entry/2013/06/04/175840   (セキュリティは楽しいかね? Part 2 2013.06.04)

ただ次のような反論も見られ、熟成にまだ時間がかかりそう。
『Googleの2段階認証は不便すぎて使いものにならない』
http://colo-ri.jp/develop/2012/12/google-2step-verification-useless.html   (2012/12)

---------------------------------- 2013.06.23 追記

http://blog.tokumaru.org/2013/06/yahoo.html (徳丸浩の日記. 2013.06.20)
「秘密の質問と答えを登録せず、ワンタイムパスワードは諦める」というオプションが可能になったようです。

---------------------------------- 2013.09.23 追記
こちらが良くまとまってる。

2段階認証ノススメ(まとめ)
http://negi.hatenablog.com/entry/2013/06/04/175840 (セキュリティは楽しいかね 2013.08.07)


//

No comments: