アカウント名:
パスワード:
・新規契約の脆弱性povoの契約には、運転免許証・マイナンバーカード・在留カードのいずれかとアプリが必須です。そのためICチップをチェックしているのかと思いきや、どれもNFC対応のカードなのにICチップを確認しないカメラによるeKYCのみで契約可。社外秘の偽造対策技術があるとされていますけど、実は厚みをチェックしている等だけなので対面の人間の目を騙せないような粗悪な偽造でも普通に通ってしまいます。フィリピンのマニラとかタイのカオサンとかで数千円以下で売ってる(オンデマンドで作ってくれる)偽造カードで通るレベルですね。画像でのeKYCなんて禁止してIC
ドコモもSB(ヤフー)とかもそうですが、キャリアに絡む会社は回線だけに依存した認証を作りたがりますよね。しかもあえて2要素認証を廃止して1要素認証にする。
回線認証はWi-Fi接続時に使えないとかテザリング時に悪用されるとか色々問題はあるものの、その回線からしかログインできないので、第三者のインターネット経由での不正ログインを防ぐ一定の効果はあります。
けど、povoはその回線認証すらなく、メールアドレス+数字6桁 のみの認証なのです。
・povoのログイン時の認証は、回線認証や端末認証(アプリ内トークン等)がなくて、Wi-Fi(他社回線) かつ 別端末 からもログイン可・povoのログイン時のOTP送信は、SMSではなくEmail・povoのログインは複数端末から同時にログイン可で、かつログイン中の他端末の確認をしたり、他端末のログイントークンを失効させる機能がない
SMSじゃなくてEmailなのは、iPadがSMSに対応していないからやむを得ないでしょうけど、OTPに加えてパスワードも入力させて2要素認証にして欲しいな、と思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
新規契約は脆弱なeKYC、ログインは脆弱な数字6桁パスワード、穴しかない (スコア:5, 参考になる)
・新規契約の脆弱性
povoの契約には、運転免許証・マイナンバーカード・在留カードのいずれかとアプリが必須です。
そのためICチップをチェックしているのかと思いきや、どれもNFC対応のカードなのにICチップを確認しないカメラによるeKYCのみで契約可。
社外秘の偽造対策技術があるとされていますけど、実は厚みをチェックしている等だけなので対面の人間の目を騙せないような粗悪な偽造でも普通に通ってしまいます。
フィリピンのマニラとかタイのカオサンとかで数千円以下で売ってる(オンデマンドで作ってくれる)偽造カードで通るレベルですね。
画像でのeKYCなんて禁止してIC
Re: (スコア:1)
ドコモもSB(ヤフー)とかもそうですが、キャリアに絡む会社は回線だけに依存した認証を作りたがりますよね。
しかもあえて2要素認証を廃止して1要素認証にする。
povoはその回線認証も無い (スコア:0)
回線認証はWi-Fi接続時に使えないとかテザリング時に悪用されるとか色々問題はあるものの、その回線からしかログインできないので、第三者のインターネット経由での不正ログインを防ぐ一定の効果はあります。
けど、povoはその回線認証すらなく、メールアドレス+数字6桁 のみの認証なのです。
・povoのログイン時の認証は、回線認証や端末認証(アプリ内トークン等)がなくて、Wi-Fi(他社回線) かつ 別端末 からもログイン可
・povoのログイン時のOTP送信は、SMSではなくEmail
・povoのログインは複数端末から同時にログイン可で、かつログイン中の他端末の確認をしたり、他端末のログイントークンを失効させる機能がない
SMSじゃなくてEmailなのは、iPadがSMSに対応していないからやむを得ないでしょうけど、OTPに加えてパスワードも入力させて2要素認証にして欲しいな、と思います。