2012年5月23日

ヤフージャパンがシークレットIDを採用

ヤフージャパンがシークレットIDという仕組みを採用した。通常のログインIDは秘密でもなんでもなく、当然多くの人の知るところとなる。IDがわかればあとはパスワードさえわかれば当人になりすましてログインすることが可能だ。

シークレットIDというのは通常の公開するIDとは別に、ログイン専用の秘密のIDを用意して、そのIDでログインするというものだ。

この仕組みが登場した背景には、複数のサービスで同じログインIDとパスワードを使っている人が多いということがあるだろう。ログインIDという表現であればサイトごとに異なっていても不自然ではないが、ユーザーIDと考えると同じユーザーであることを他の人に知ってもらうためには複数のサービスで同じIDであることが好ましい。

それぞれのサービスで違うパスワードを設定しておけばいいのだが、覚えやすくするために同じパスワードを設定しておくケースが多い。そうすると、一つのサービスが攻撃を受けてログインIDとパスワードが漏れてしまえば、同じIDを使っている全てのサイトにログインできてしまう。

この問題を解決するためにサイトごとに違うパスワードを設定するよう多くのサービスが啓蒙しているが、さらにヤフーではログインIDとユーザーIDを分離してさらに他サイトの被害の影響を受けにくくしようとしたものだ。

ただこのシークレットIDは必須ではない。シークレットIDもIDなのでユニークな値である必要があり、他の人がすでにIDとして使っているものは使えない。サービス側としてはセキュリティを向上するものだが、ユーザー側としてはログイン情報がより覚えにくくなるものだ。

セキュリティに対する啓蒙なくしては普及しない仕組みだろう。

0 件のコメント: