手元でわかるセキュリティ

こんにちわ。

先日学んだセキュリティに関することを記したいと思います。

普段何気なく使っているログインフォーム。

IDとパスワードを組み合わせたり、メールアドレスとパスワードを組み合わせてログインするケースが大半かと思います。（近頃はメールアドレスに認証コードを送るものや、携帯電話番号のSMSに２要素認証コードを送るものがあるなどセキュリティの強度も高まっていますが・・）

そんなID/パスの組み合わせ、メールアドレス/パスワードの組み合わせで、ログインできない場合、最近案内が不親切に感じませんか？

・IDかパスワードに誤りがあります

・ログイン情報が間違っています

とか、「いや、どっちが間違ってるか教えて欲しいのだけど・・・」と思ってしまうケースに最近多いなと思っていました。

こちら、実はセキュリティ対策のためこのようになっています。

2018年にとあるECサイトで不正入手したメールアドレスを、１つのメールアドレスにつき作成できるアカウントが１つのみである特徴を利用し、不正入手したメールアドレスを１つ１つログインフォームに入力し、そのメールアドレスが登録済みかどうかを確認し、さらに外部で不正入手していたパスワードを利用して不正ログインを行なったインシデントがありました。

このインシデントがきっかけとなり、各社は同様の手口で不正アクセスが起きないよう、対策を行なっています。現時点（2021年5月です）でログインに失敗した際に曖昧な回答が返ってくるログインフォームを持つサービスは2018年のインシデントから対策を行なっていると言えます。「パスワードが違っています」とか「IDが違っています」などの直球は返ってこないけど、セキュリテイを行なっていると一定の信頼をして良いかと思います。

ちなみに私がお気に入りのログイン方法はnotionです。

notionはパスワードを持たず、セッションが切れて再ログ人が必要になった場合、登録メールアドレスに長いランダムな認証コードを送信し、それを入力フォームに入力することでログインが可能になります。

パスワードをブラウザに記憶させたり、1passwordのような保存サービスに保存する必要がなくメールアドレスへの不正アクセスがなければ絶対に自分のアカウントを守れる方法でもあるのでお気に入りです。