アクセスカウンターカレンダープロフィール
HN:
B氏
性別:
非公開
自己紹介:
リンバス・サルベージLSリーダーに加え、裏LSのリーダー代行。
FFの出来事を書いたり、気になった事の考察をしたりと、その時気が向いた事を書き連ねます。 ブログ内検索カテゴリー最新記事(06/17)
(06/15)
(06/14)
(06/12)
(06/11) アーカイブリンクフリーエリアなかのひと |
B氏の気まぐれFF11日記+1FF11関連ブログ。FC2から移行しました。リンクフリーPAGE | 1157 1156 1155 1154 1153 1152 1151 1150 1149 1148 1147 | ADMIN | WRITE 2009.04.13 Mon 14:22:26 ワンタイムパスワードとSEIDの考え方。うちの職場のグループは5人中3人がFF11プレイヤーと言う脅威の構成だ。
別にFF11をやってるから集まったグループでもない。はず。 と言うのはまあどうでもいいんだけど、ワンタイムパスワードのトークンが売り切れになったって話をしてたときに、 スクウェアエニックス アカウント(以降、SEIDと呼称)取得済みで、リンクしちゃった人からすれば、トークンを使っていない現時点のアカウントはセキュリティガタ落ちのままじゃないか。 と言う話題が出た。 そうなんだよね。 SEIDの仕組みって、ワンタイムパスワードを使わない場合、従前と比較するとセキュリティリスクが増大するのです。 FF11自体のログインについては、SEID・SEIDパスワード・POLID・POLパスワードの計4種のデータが必要と考えられる。 また、POLID・POLパスワードについては、公式の説明を見ると事前にPOLビューアーに記憶させている。 で、SEIDも記憶は可能。ただし、SEIDパスワードについては、毎回入力する必要がある。 過去の経緯からすると、POLID・POLパスワードについては、罠サイトにアクセスしてしまう等によって盗まれた事実がある以上、予め登録できるSEIDについても、盗まれる可能性はあると見てよいだろう。 となると、ユーザ側が対応できる唯一の要素はSEIDパスワードになる。 ただし、これも特定のパスワードである場合、キーロガー(キーボードに入力した文字情報を記録し流出させる)によって解析される可能性がある。 従って、ワンタイムパスワードのような、一回のみしか利用出来ないパスワードを使用する仕組みを採らないと、リスクの発生率は殆ど減らない。 また、POLIDとPOLパスワードが盗まれなかったとしても、SEIDとSEIDパスワードが盗まれれば、SEIDのサービスについてはコントロールが奪われる・ この場合、FF11へのログインはされなくても、個人情報の流出、トークンの解約、SEIDの解約(⇒全サービス強制解約)や、今は稼働していない□eの電子マネーを全て使われるなど様々なリスク発生時の影響は増大する。 何がいいたいかというと、ワンタイムパスワードを使わない場合、セキュリティリスクが跳ね上がるので、原則として ・オートログインしたいならSEIDとPOLIDをリンクさせないこと。(これはそもそも仕様上リンクしてしまうと出来ない様子) ・同じパスワードを利用し続けたい場合でも、SEIDとPOLIDをリンクさせないこと。 ・モグサッチェル使いたいならワンタイムパスワードの利用は続けておけ。 と言う事。 例えばこんなのも考えられる。 1)もう4アカ分をリンクさせてトークンに登録したし、それぞれ16キャラ作った! 2)FFのアカウントもキャラクターも増やす見込みなんてないし、ワンタイム使いたくないのでトークン解除! 3)罠サイトやキーロガーでSEIDとSEIDパスワードが盗まれる! 4)第三者が入手してSEID退会! 5)さあ今日もログイ・・・できない!?(4アカ64キャラとも) 5)おつかれさまでした! ログインの無力化(退会) + 精神的ダメージ = 諦めの境地 と言う感じですかね。 今までは、POLIDは独立してたので、個々に取られるリスクを管理する必要があったけれど、またSEIDとSEIDというアカウント・パスワードが増加している分、リスクが増加している。 更に、SEIDにはPOLIDがリンクされると言う事で、リスクが集約される。 従って、SEIDに対するセキュリティ対策は従来よりも強化せざるを得ない、と言う事なのですよ。 そこまで理解した上で、それでもトークンなんていらねーYO! と言うのであれば、自己責任で解除すればいいと思います。 (ついでに言うと個人的には、そこまでやって被害を受けたアカウントについては、救う必要性はないと思います。) とはいえこのままでは、そこまで理解しないで、単純にログインの手軽さだけを追及した挙句、アカウントを奪われてファビョる人が出てきそうな気がするので、今のうちに□eは上記のような説明と ・トークンを登録しないSEIDについては、サービスの利用は可能とするが、セキュリティ面にはリスクが生じる事 ・その為に、トークンの利用が強く推奨される事 ・不正ログインに関する対応がなされていない(特に、トークンの登録を解除して一定期間経過したような)アカウントに対して、不正ログインが原因で発生したと思われるトラブルについては、対応でしないこと。(穏便に書くならば、「対応できない場合がある。」などと濁す) といったことを書いておけばいいんじゃないかなーと。 リスクに引っかかる人は、セキュリティを意識しない人のほうが多いので。 本件については、個人的には楽をしたいプレイヤーよりも、□e側のセキュリティ意識のほうを高く買っています。 ただ、うちの先輩とか、あとはどこぞの板にも書いてあったけれど、 ・セキュリティトークンの販売受付を先行 ・しばらくしてSEIDの登録受付を開始する とする事で、ワンタイムパスワードを利用出来ない期間を短くするってのが、セキュリティの観点は重要だという点に同意。 (まあそんなに心配になるほどの話ではないとは思うんだけどね。) 商業的にもさほどのリスクはないと思うんだけど、その辺については良く分かりません。 PR TrackbacksTRACKBACK URL : CommentsComment Form |