はてなキーワード: 2段階認証とは
今騒がれてる件とは別に、技術的・社会的な興味としてどうすればネット署名で個人認証してなりすまし防げるんだろうね?
一番堅固なのはマイナンバーカードを使った公的個人認証サービスだろうけど、民間事業者が使うには個別申請で使用可能まで半年以上かかるようだ( https://www.j-lis.go.jp/jpki/minkan/procedure1_2.html )。そもそも日本在住者しか対象にできない。
民間ベースで「個人」を認証するのはすごく難しい。対面確認の上で鍵作ってもらえれば問題ないけど、非現実的。一部のサービスはこの方法使ってるけど限られた利用者だからできることだ。
よく使われている携帯電話番号を使った2段階認証は、端末の認証は出来るけど個人の認証はできない。
どうすればいいと思う?
将来的な基盤構築も含めてアイデアが聞きたいな。
https://internet.watch.impress.co.jp/docs/yajiuma/1358671.html
2段階認証のワンタイムパスワードはアプリで発行されるのではなく、毎回メールで送信される
Yahooもそうじゃなかったっけ
シェアハウスの内装工事してたらiPadProとApple Pencil紛失した。
…
【1日目】
スマホは会社支給だけどiPadはカタログ閲覧用で私物を現場で使ってた。工事を終え会社に戻って現場の資料を自分のデスクに置いた。その後家に帰る途中の電車でiPadが手元にないことに気がついた。
会社のデスクに置き忘れたと思ってたのでその日は「探す」を使用しなかった。
…
【2日目】
出社後会社のデスクや資料の隙間、昨日の作業ゴミ袋の中などあらゆるところを探したが無かった。
シェアハウスに置き忘れた可能性を思い出し、工事依頼主でもあるシェアハウス管理会社に問い合わせをした。確認や探してもらったが見つからなかった。
iPadと同じアカウントでログインしてる端末は家にあるiMacだけだったのと、会社PCブラウザからは2段階認証の関係でiCloudにログインできなかったから、日中は「探す」を使いたくても使えなかった。
仕事を終え帰宅し自宅で「探す」を使用したところ、シェアハウスに行った日の、自分がiPadを触っていないはずの時間で、位置情報は止まっていた。紛失モードにしようとしたが、端末がオフライン状態のため保留となってしまった。
できる限りのことをしようと思い、その場ですぐに交番へ行った。状況的に「盗難届」は出せないようで、「紛失届」を出すことになった。
…
【3日目】
シェアハウス管理会社の配慮でiPad紛失の旨をシェアハウスに掲示させてもらえることになった。拾得したであろう人が管理会社へiPad持っていくことは「私が盗みました」と言っているのと同然だと思い、管理会社を介さない「紛失届を出しましたので、拾得した場合は交番へ」という旨の書面を作成し掲示してもらった。
【4日目】
iPadが中古買取店に売られた場合、シリアル番号で引っかからないかと考えた。検索で引っかかる約10社へ「iPadとApple Pencilを紛失した。シリアル番号を伝えるので、その番号のものがあったら通報してくれないか」という旨の連絡を問い合わせフォームなどから行った。半数が「古物商許可に則り、不正な商品は売れないので調べます。今後あったら通報します。」と返答があり、もう半数は「警察からの依頼でないと調べません」とのことだった。
…
数週間前の出来事で、現時点でなにも良い知らせはない。私物を仕事で使用するなどの認識の甘さの結果がこれだ。勉強代 約140,000円。
地獄の釜の蓋もあく
意味
正月や盆の16日は、地獄の鬼も罪人の呵責(かしゃく)を休むというところから、この両日はこの世の者もみな仕事をやめて休もうということ。
用例
パンドラの箱
意味
さまざまな災いを引き起こす原因となるもののたとえ。
用例
Twitterが“投げ銭”機能をテスト Twitter上でお金のやり取りができる(1/2 ページ) - ねとらぼ
これが絵師やら一芸に秀でた人の救いになるのか、それとも地獄の釜の蓋が開くのか。。。2021/05/07 09:14
中国リベラル知識人の「親トランプ化」とその後遺症 | ふらっと東アジア | 米村耕一 | 毎日新聞「政治プレミア」
何つーか、あっちこっちで地獄の釜を開けっ放しにして去った御仁やったんやなあ。……まあ、また戻ってくるかもしらんが。2021/02/13 19:52
地獄の釜の蓋はまだ開いたばかりです。今後、どのような状況になっていくのか。
一ついえることは、安倍政権支持者は、政権の命運が尽きると掌を返し、自分達が支持した事実すらとぼけるであろう、ことです。では。
などなど、お土産大好き日本人の特性を活かして、全員が好き勝手言い始めるので「あれ?ひょっとして地獄の釜の蓋を開けたかな?」と思いました。
さあ、6日で2段階認証を実装するという地獄の釜の蓋が開いたぞ…
※7/11に沖縄県で14店舗一気に開店して、全国47都道府県ネットが完成するため。
7pay 不正防止へ「2段階認証」導入など対応策 | NHKニュース https://t.co/ay1YoeN8Px— ぽよぽよちゃん。 (@poyopoyochan) July 5, 2019
まずECサイトが軽く乗っ取られたのと、他部署がやってるメルカリが垢バンくらったりといろいろでした。
ECサイト軽く乗っ取られは、売上振込口座が知らぬ間に海外の口座に変えられてて(2段階認証もしているのに変更したのは誰かは全く心当たり無く分からない謎)、数ヶ月前に不正に変更されていたのにもかかわらず、気付かなかった経理も経理ですが……。
メルカリ垢バンは派手に売りまくったり1つのアカウントに複数というより結構多数でログインしてたのが怪しいっぽく、もしかしたら客対応もあんまり良くなかったみたいだし、通報されたのかも知れません。
とにかく両件なんでそうなったのかは真相は分かりません。
メルカリ垢バンはちょっと面白かったんですが、ECサイト軽く乗っ取りは、だれも設定変更していないのに変更通知が来るという怖さ体験し結構ビビりました。
教訓としては、ガッチリ強度の高いパスワードを使わなければ!と言うことです。
上司の名前と誕生日との組み合わせのパスワードならそりゃ総当たりしたらそうなるでしょうし、あとadminとかwebmasterとか定番のメールアドレスを使ってるアカウントも今さらながら危険極まりないこと実感しました。
今日もいくつか増田を書きましたが、トラバやブクマがつきませんでした。
今週は短いのでなんとか頑張れそうですが、早く帰れたら帰りたいですね。
楽しいことを考えるのが好きだ。
特に自分自身は優れた人間ではない。何らかを生産する能力がなければ行動力もない。
しかしながら自分自身が考えた世界を妄想するのが非常に好きなのだ。
如何にして従業員が快適に労働しつつ会社を維持するための収益を挙げるか?を考えている。
他の企業相手に商売するBtoBを検討したが、話題性一発で勝負できる可能性のある一般消費者を相手にするBtoCでやってみよう。
もちろん今から起業するのであればITの分野で、BtoCということであるならば想定できるのはコミュニケーション、まぁつまりSNSだ。
ただ単純にSNSで勝負しようたって既存のTwitterやFacebookに勝てるはずもないので話題性が必要。
ここで疑問が湧く。なぜ発言を投稿するタイムラインをメインへ据えたSNSにしなきゃならないのかと。
タイムラインによるコミュニケーションはオマケでも良いのでは?と。
いわゆるSNSの利点と言えば常時接続性にあるというのは多くの人が理解しているはずだから、常時接続性の悪いサービスとくっつけてしまうのはどうだろうか?
人々の話題を得つつ、まだまだ新しさを感じ、接続性の悪いサービスと言えばなにか?
そうだコレしかないだろう「VR型コミュニケーションサービス」だ。
VRChatへ代表されるように既存のVR型コミュニケーションサービスはどうしてもVRゴーグルなどを装着していないとコミュニケーションが取れないという問題があった。
皆さんが「それならもうVRじゃなくてもいいんじゃないか?」と感じるのはもっともだが、ゆったり腰をすえてコミュニケーションを取る時はVRワールドへインして、外出時などはTwitterのようなタイムラインでコミュニケーションを取り続けられるのは魅力的だと思わないか?
なんならVRゴーグルなしでもVRアバターを操作できるようにしたって良い。それはもう既にMMOやFPSで実現できているのだから技術的な問題はない。
欲を言えばVRゴーグルも専用機でなく、Google Cardboardのような形式が望ましいな。参加の敷居を著しく下げるだろう。
ARとVRの利点を融合し、スマホカメラから手指の動きを認識させVRアバターの手指腕の動作と連動させよう。VRコントローラも悪くはないが。
どうだ?自宅ではスマホを使ってVRワールドへインして、外出先ではVR仲間とタイムライン上でコミュニケーションを取る。
オープンソースで公開し、個々のサーバがまるでMinecraftのように自由なVRワールドを公開できつつ、サーバ同士がネットワークで相互接続し、法令に違反しない範囲で自治権を与えられるようにしよう。
これならばリアルの仲間内でVRワールド上でコミュニケーション取れるじゃないか。同じ趣味の者たちが集まるテーマを持ったサーバも公開できるぞ。
もうここまで来たらSNSの仕様は以前話題となったMastodonが採用するActivityPubプロトコルへ準拠し、メディアの配送形式をP2PであるWebTorrentにしようじゃないか。
個人がサーバを公開する際に問題になるのは借り受けたサーバの従量課金転送量なのだから、画像や動画はP2Pで配送してしまおう。
需要があるだろうしタイムラインのほかチャットも用意してしまおう。こちらも分散型のMatrixプロトコルへ準拠だ。
開発の中心たる我が社は特権としてマーケットサービスを運営できるようにしたら、ある程度のマネタイズも可能になるのではないだろうか?
クリエイターが3DCGモデルを公開したり、タイムライン上で使えるカスタム絵文字やスタンプ(ステッカー)を有償公開できるマーケットだ。
それと並行してVRワールド上で音楽ライブなどを開催できる環境をパッケージとして法人や団体へ売り込もう。BtoB需要もこれで確保できる。チケットはマーケットから購入する。
もしもVRワールドとしてSAOのようなMMOを公開できるとするならば、更に面白くなるんじゃないか?
分散型コミュニケーションVRシステムがゲームプラットフォームにまでなる。しかもそれはスマホで参加可能というものだ。
こんなものを立ち上げられれば、会社には面白い人材が集まるだろう。
だからこそそういう会社ではMicrosoftやApple、Googleへ強く依存しないことが求められる。
しかしITの巨人たちを脊髄反射でEvilと決めつけるのは良くない。彼らは重要なビジネスパートナーで居て貰いたいからだ。
少なくともスマホOSは2大巨頭であるiOSとAndroidOSなわけだし、GPUの多くはWindowsに最適化され、Apple Silicon化するMacは次世代に大きな影響を残すかも知れない。
重要なのは会社内部の業務環境へどのくらい自由度があるのか?という点だろう。
しかし自由度が高すぎると管理が煩雑になりセキュアな社内システムが構築しにくいという表裏一体の問題があるのも事実だ。
ならば経営者として示さなければならない社内で用いる基礎システムはPOSIXだろう。
しかしPOSIXが示されたとしてもバックオフィスの人員はまだ困るかも知れない。つまりどのようなオフィススイートが標準なのか?だ。
この点、Microsoft Officeは申し訳ないが却下で、OpenDocumentFormatも検討に入れたが、よりアクセシビリティを考えた結果Google G Suiteをオフィススイートのフロントエンドとして選択することにした。
これならばChrome Webブラウザ(またはChromium Webブラウザ)でアクセス可能なのでWindowsやMacはもとよりLinuxでも利用できる。
G Suiteを選択したことによってバックオフィス人員すべてへChrome Bookを配布することまで検討できる。
無論、アカウント管理もG Suiteで行えるし、YubiKeyなどで2段階認証も可能だろう。
・・・ふぅ
みたいなことを考えると凄く楽しいよね。
物理セキュリティキーを購入してGoogleアカウントに設定してみた。
セキュリティキーを登録すると2段階認証のデフォルトがセキュリティキーになるようだ。
便利だとは思うけど、セキュリティキーを持ち歩かないといけないのが逆に面倒な気がしている。
2段階認証の種類がGoogleメッセージ、携帯電話へのテキストメール、1回のみバックアップコード、
とほぼほぼスマホ依存の認証で、スマホが物理的に死んだら対応しようがない、という状況を避けたかったから。
というか実際にスマホが死にかけ、自宅外にいたため仮のデバイスにログインもできず、まったく操作できなくなった時があって懲りたから。
情報漏えい対策というよりは、アカウントにログインできなくなる状況を避けるための物理セキュリティキーだった。
せっかく購入したのでこのままデフォルト認証を物理セキュリティキーに設定しておくけど、鍵の管理をどうしようかと悩んでいる。
財布とかに入れておけばいいんだろうか。
それにしても、生活の多くのシーンでスマホに依存しているのに、スマホの替えがきかないのが一番怖いところだ。
スマホを紛失したにしろ、スマホがぶっ壊れたにしろ、じゃあ携帯会社その他に連絡して… の手段すらその時点で失っているのがたち悪い。
以前は信頼できなかった。
使い勝手も悪かった。
利用していない遠方の金融機関で
「「最新バージョンで利用して下さい」のような警告が出たら、
OK も キャンセル も押さずに 右上の Xボタン をクリックして下さい」
と案内があると(警告無視推奨)、
急場しのぎには仕方ないのだろうが、1年以上対応そのまま。
ワンタイムパスワードや2段階認証など、
以前の体験や見聞により、金融機関のネット利用手続きには不安が大きい。
令和 2020 年代に入り、悪い病も流行し、ネットで済むなら利用したい。
しかし怖い。
信頼できないシステムを使いたくない。