思考の練習帳

適当に。

ミクシーに不正ログインされアカウントを乗っ取られて思ったが、パスワード変更って意味ある?

f:id:takeshi1127:20140919133127j:plain

先日、僕のミクシーのアカウントが不正ログインされ、今はログインできなくなってます。

とても困ってます。
ミクシーを愛用していたってよりも、ずっと楽しんできたブラウザゲームの戦国IXAができないって事が少し苦痛。

とりあえず、ミクシーの事務局に「なんとかして」って連絡だけしてますが、この記事を書いている今、何の音沙汰もなし。

で、これをキッカケに思ったのが、不正ログインについて。

ミクシーの事務局から来たメール

今回の不正ログインに気づいたのは、ミクシー事務局からのメール。

 

f:id:takeshi1127:20140919133139j:plain

(思いっきり乗っ取った人の情報を晒してますが、これって問題あるかな?)


あ・・・と思い、開きっぱなしだったミクシーの画面を見ると、操作はできる。

おや?と思い戦国IXAにログインしてあれこれ見ていると、自分の持つ「極」カードが出品されてます。しかも、入札が既にある!

なにこれ!?とゾッとして、スグに出品を取り消し、他にも影響があるのでは?と思いページを移動すると、自動的にトップページへ戻りパスワードが違うからログインできないとなりました。

スグにミクシー事務局に連絡をしたのですが、冒頭で書いた通り音沙汰なしでございます。

いやー、まいった。

さて、どうしようか・・・とおもいつつ、この不正ログイン対策がパスワードを変えるだけって不十分すぎるんじゃないの?

多分これだけでは完全に対処はできないと思う。

IDとパスワードを変えても対処できないんじゃないの?

そもそも、パスワードとID(メールアドレス)を僕は公開した事がない。
でも、乗っ取られたって事は、IDやパスワードをどれだけ変えても条件的には何も変わってないってことです。

IDもパスワードもわからないけど、乗っ取り犯はログインしたんですからね。

しかも、僕のパスワードは誕生日などの情報からは絶対に予測できない。
というのもですね・・・って、言うわけがありません(笑)

だから、IDとパスワードの使いまわしを注意喚起を見る度に、それだけで不正を防げるとは思えない。

注意喚起したんだからって既成事実を作るためじゃないかな?と穿った見方をしてしまいます。それに、IDとパスワードをあれこれ使い分けるなんて、いずれどこかで無理が生じると僕は思う。

 

滅多にログインしないWEBサービスのIDやパスワードなんて覚えてないに決まってるし。

一応、LINEでは対策があるそうですが・・・

調べてみるとLINEにはPCからのアクセスを制限するという機能があるそうですが、これは乗っ取り対策としては不完全のようです。

【LINE】「他端末ログイン許可をオフ」は間違った乗っ取り対策なので注意 | LINEの仕組み


つまり、PCからのアクセスを制限し、スマホからのアクセスしか許しませんって設定しても、スマホからの乗っ取りを仕掛ける事は可能という事ですね。

「どの端末から」という、端末の種類を制限するだけであって、端末の個体までを制限はしていない。

ここをもう少し踏み込んで、端末の個体までを制限できないのだろうか?
許された端末からでしかログインできない!みたいな。

”いつも”がわかるなら、なんとかできるんじゃないの?

今回、ミクシー事務局から連絡があって思ったのが、”いつもと違う”って事は把握できてるんだよね?ってこと。

いつも”を認識できるなら、いつもと違う時には認証をもっと細かくしてくれって思った。

いつもと違うね~、でもIDもパスワードも合ってるからログインしてもいいよ~


って簡単に通すんじゃねーよ!

うちの番犬でも、もっと仕事するぞ!
あ、イヌ飼ってないわ。


とにかく。

IDとパスワードが合ってても、アクセスした端末が”いつも”と違うなら何らかの手を打てるだろ?

って思ったわけですが、あなたはどう思いますか?

 

 広告

番犬ガオガオ

番犬ガオガオ