セキュリティ強化のためのワンタイム認証のルール変更について
楽天銀行が、二段階認証でいわゆるフリーメールと言われているメールアドレスを使う事を禁止するそうです。
まあ、これらのメールアドレスを禁止にするのは、勝手ですが、上記URIに書かれている内容では、いわゆるフリーメールが危ないと主張しています。
私はこの主張は誤りだと思います。
これはメールベースの二段階認証の問題であって、フリーメールだから危険だとは到底思えません。もちろん脆弱なメールサービスもあるでしょう。
しかし、楽天銀行がフリーメールと主張するもの中に Yahoo, Microsoft, Google のメールサービスが入っています。ですが、これらは決してセキュリティが低いわけはありません。
Yahoo, Microsoft, Googleのサービスの中には、二段階認証を打ち出しています。
しかも、メールベースではなく、ワンタイムパスワード認証の規格に対応したアプリも出しています。
Yahoo, Microsoft, Google ではしっかりとセキュリティ対策をしているので、他のメールサービスよりよっぽど安心です。
また、Yahoo!Japan は、残念な事に情報漏えいがありましたが、迅速かつ丁寧に対応しています。
16日の夜に問題が発覚して、17日にはその内容をプレスリリースで発表しています。
迅速に対応してくれていると、利用者側もすぐに対応パスワードの変更もできるでしょう。
そもそもメールベースの二段階認証は、このような問題が起こる可能性は、当初から予想できたはずです。それを場当たり的に、「フリーメールのID,パスワードが漏れたから禁止!」というのはいかがなものでしょう。
出来れば、ハードウェアトークンや二段階認証の規格に沿ったアプリをだして欲しいですね。
内容が長くなりましたので、要約すると、
- Yahoo!メール、Hotmail、Gmail のメールサービスのセキュリティは低くないよ。
- フリーメールが悪いのではなくて、メールベースの二段階認証の問題だよ。
- ハードウェアトークン欲しい。
です。
