アカウント名:
パスワード:
GIGAZINEの記事によると、
当然、キャリアからは身分証明を求められますが、あらかじめターゲットとなる人物の住所や社会保障番号を調べておけば対応できるため、SIMハイジャックを簡単に行うことができてしまいます。
ってことらしいので、ここがセキュリティホールといえそう。 要するに、個人認証の方法がざるであるってことね。
もし本当に紛失していた場合、SIMは既に別の誰かに盗まれて使われているかもしれない。その場合、元の番号にかけても本人確認はできないし、そのまま放置すればそのSIMで勝手に買い物されたりするかもしれない。 だから、どうに
これが現実的なリスクになっていくとすれば、再発行不可、にすればとりあえず被害はなくなりそう。新規電話番号を割り振る形で。ただ本当に無くした場合も変更になってしまう。
認証の一部が電話番号に紐づくのって、解約した後しばらくすると電話番号再利用されるので、ちゃんと番号変更などの手続きしておかないと、次の利用者に認証SMSが届いてしまう。
電話番号に紐づけるよりスマホ自身をU2Fデバイスにする方が安全そうな気もする。別の端末でどうやってログインするか、という課題か。OTP?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
事後対処するしかなさそうね (スコア:1)
GIGAZINEの記事によると、
ってことらしいので、ここがセキュリティホールといえそう。
要するに、個人認証の方法がざるであるってことね。
もし本当に紛失していた場合、SIMは既に別の誰かに盗まれて使われているかもしれない。その場合、元の番号にかけても本人確認はできないし、そのまま放置すればそのSIMで勝手に買い物されたりするかもしれない。
だから、どうに
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:事後対処するしかなさそうね (スコア:0)
これが現実的なリスクになっていくとすれば、再発行不可、にすればとりあえず被害はなくなりそう。
新規電話番号を割り振る形で。ただ本当に無くした場合も変更になってしまう。
認証の一部が電話番号に紐づくのって、解約した後しばらくすると電話番号再利用されるので、
ちゃんと番号変更などの手続きしておかないと、次の利用者に認証SMSが届いてしまう。
電話番号に紐づけるよりスマホ自身をU2Fデバイスにする方が安全そうな気もする。
別の端末でどうやってログインするか、という課題か。OTP?