2013年6月1日

楽天銀行曰く、「ワンタイム認証に利用するメールアドレスとしてフリーメール(Yahoo!メール、Hotmail、Gmail等)は推奨度低」



セキュリティ強化のためのワンタイム認証のルール変更について
楽天銀行が、二段階認証でいわゆるフリーメールと言われているメールアドレスを使う事を禁止するそうです。

まあ、これらのメールアドレスを禁止にするのは、勝手ですが、上記URIに書かれている内容では、いわゆるフリーメールが危ないと主張しています。

私はこの主張は誤りだと思います。
これはメールベースの二段階認証の問題であって、フリーメールだから危険だとは到底思えません。もちろん脆弱なメールサービスもあるでしょう。

しかし、楽天銀行がフリーメールと主張するもの中に Yahoo, Microsoft, Google のメールサービスが入っています。ですが、これらは決してセキュリティが低いわけはありません。
Yahoo, Microsoft, Googleのサービスの中には、二段階認証を打ち出しています。
しかも、メールベースではなく、ワンタイムパスワード認証の規格に対応したアプリも出しています。

Yahoo, Microsoft, Google ではしっかりとセキュリティ対策をしているので、他のメールサービスよりよっぽど安心です。

また、Yahoo!Japan は、残念な事に情報漏えいがありましたが、迅速かつ丁寧に対応しています。
16日の夜に問題が発覚して、17日にはその内容をプレスリリースで発表しています。
迅速に対応してくれていると、利用者側もすぐに対応パスワードの変更もできるでしょう。

そもそもメールベースの二段階認証は、このような問題が起こる可能性は、当初から予想できたはずです。それを場当たり的に、「フリーメールのID,パスワードが漏れたから禁止!」というのはいかがなものでしょう。

出来れば、ハードウェアトークンや二段階認証の規格に沿ったアプリをだして欲しいですね。


内容が長くなりましたので、要約すると、

  • Yahoo!メール、Hotmail、Gmail のメールサービスのセキュリティは低くないよ。
  • フリーメールが悪いのではなくて、メールベースの二段階認証の問題だよ。
  • ハードウェアトークン欲しい。

です。