スマートフォン版LINEアプリでPINコード設定が必須に 28
ストーリー by hylom
後手後手 部門より
後手後手 部門より
headless 曰く、
LINEでは相次ぐ不正ログインへの対策の一つとして、7月にスマートフォン版アプリでのPINコード認証機能を追加しているが、9月22日からはPINコードの設定を必須にするそうだ(LINE公式ブログ)。
PINコードは電話番号の異なる別のスマートフォンからログインする際に使用する4桁の数字で、これまで設定は必須ではなかった。PINコード設定が必須となるのは、22日14時ごろから。順次適応するため、開始時間にはばらつきが生じるとのこと。PINコード設定はバージョン4.5.0以降のLINEアプリで対応しているので、バージョン4.5.0未満を使用している場合は最新版への更新が必要となる。なお、メールアドレスを設定していない場合、次バージョン(4.7.0)からPINコードの設定が必須になるとのことだ。
「友達認証」の方が良いのでは? (スコア:2, おもしろおかしい)
アカウント乗っ取り犯がPC版LINEからログインすることは、4桁の「認証番号」をスマートフォン版LINEに入力する手順が新たに加わった [official-blog.line.me]ことから、困難になりました。しかし、依然として、Genymotion などの Android エミュレータを利用してパソコンから Android 版の LINE を使う [smhn.info] ことができるので、今もなおパソコンから LINE の乗っ取りができる状況です。
LINE の乗っ取りは、他社サービスから流出したと思われるメールアドレス・パスワード等を利用したリスト型攻撃 [official-blog.line.me]によって行われているようですので、PIN コードなんてセンスの無い実装ではなく、「友達認証」にすべきだと思います。普通のWebサービスには友達の電話番号は登録しませんので、FacebookなどのSNSが情報を漏えいさせない限りは、リスト型攻撃によるアカウントの乗っ取りは極めて困難になります。
具体的には、次のような実装にすれば良いのではないでしょうか?
--
文章で書くと複雑に見えますが、殆どのスマホユーザーは新しい端末にアドレス帳を移行するし、アドレス帳をLINEサーバにアップロードする設定にしているので、何もしなくても友達認証が自動的に完了するでしょう。
蛇足ですが、友達の電話番号の一致を4つ以上としたのは、他社サービスから「自宅電話番号」「勤務先電話番号」「送付先電話番号」などが漏えいする可能性があり、それらがアドレス帳に登録されている可能性があるからです。また、PIN コードにセンスが無い理由としては、普段使わないのでユーザーが忘れてしまう可能性が高いこと、および銀行のキャッシュカードやクレジットカードの暗証番号と同一のものを設定するユーザーが現れ、LINE のサーバから PINコードが漏えいした際に非常に迷惑だからです。
Re:「友達認証」の方が良いのでは? (スコア:1)
電話帳に0x0-xxxx-xxxxの番号を全て登録してしまえば、この条件は満たされてしまいますね。
最近、「電話番号による追加」という表示で勝手に友だち登録されるスパムアカウントが増えているように感じますが、このようなことをしているのではないでしょうか。
Re:「友達認証」の方が良いのでは? (スコア:1)
Re:「友達認証」の方が良いのでは? (スコア:1)
今こそ「スルー力」が試されているのかもしれない。
Re: (スコア:0)
なるほど、アドレス帳をアップロードする理由付けに、今回のアカウント乗っ取りを利用するわけですね。
ふざけるな。
Re: (スコア:0)
大体の情弱は本体と同じPINコードにするよね・・・。
この韓国企業が全乗っ取りじゃん。
Re: (スコア:0)
対策する(実施もしくは承認)のはその「韓国企業」なんだもの。
そういう考えの人はLINE使わないこと。心の健康を害するよ。
Re: (スコア:0)
って、笑うところですか?
LINEの話ですよね?
Re: (スコア:0)
道連れ増やす良いアイデア
詐欺師大歓喜
Re: (スコア:0)
文体から察するにネタじゃなくてガチで提案してるっぽいな。
大丈夫かこの人。
Re: (スコア:0)
Re: (スコア:0)
>、PIN コードなんてセンスの無い実装ではなく
うん
>「友達認証」にすべきだと思います
う…ん
>普通のWebサービスには友達の電話番号は登録しませんので
うん?
リトライ制限がない (スコア:2, 参考になる)
PINコード認証にリトライ制限がないが無いため、何度でも攻撃ができるという指摘がありました。
【LINE】「乗っ取り対策『PINコード』にリトライ制限が無い」を検証→PINコードを何度間違えてもパスワードが無効化されない [did2memo.net]
Re: (スコア:0)
その昔、会社の勤労関係サービスで「PINコード」の設定をしてくれと言われてよくわからず。
サービス部門に「PIN」って何?と問い合わせしたら「数字のパスワード」とのこと。
「んじゃパスワードでええやん」というと、「しゃあないやろ、導入時に担当SEからそう言えって言われてんねん」とのこと。
けっきょく、何が違うのかわからず・・・今に至る。
気になってその後調べたら "Personal Identity Number" の略らしいのはわかった。
みんな略号好きだからね。
Re: (スコア:0)
wordって言ったら数字だけとは限らなくなるだろ
PC版とウェブストア (スコア:1)
はっきりいってこの2つが余計すぎる。これがなけりゃまだマシだったのに
最近、定期的に「ウェブストアにログインできませんでした」通知がきて困る。
端末と結びつきが強いアプリのくせに変に別の入り口を作ったもんだから対応しきれてないよね、これ
LINEはさっさとウェブストアとPC版クライアントを廃止したほうがいい
Re: (スコア:0)
なんでですか?やりとりするのにスマホスリスリしないといけないなんて不便じゃないですか
やる気 (スコア:0)
以前からそうですがLINE社の対応は嫌々やってるような消極的な印象を受けます
ひとまずこうしておけばしばらくは方々から文句言われないだろう(問題が解決するとは言ってない)と言った感じで
事の重大性を理解してないのか理解したくないのか
Re: (スコア:0)
裏で金受け取ってるんでしょ
Re: (スコア:0)
法人と見るから違和感を感じるのであって犯罪マフィアとして解釈すればすんなり理解できる
Re: (スコア:0)
斜陽だからね。
通信各社の通話定額導入で、メリットを示せなくなってる。
学生中心のブームってのも進学就職での利用層消滅っていうリスクが大きい。
Re: (スコア:0)
何言ってんだと思った。
あんなクソ高い料金払ってまで通話定額なんて誰が好き好んでやるんだよ。
実際通話定額強制したドコモだけiPhone6余ってるし。
Re: (スコア:0)
俺も通話定額は結構だが強制は止めろと思うが、回線握ってんのは向こうだからな。
少なくともパケ代は段階上限の従量制・低利用で安価になる流れだ。IPフォンなんて生き残らない。
Wimaxも2は定額じゃないし、ほんと途方に暮れるわ。
Re: (スコア:0)
なんで二段階認証入れないのか疑問だよなあ
使うのは電話番号変えた時だけだし
多少手間なシステムにしても実害はないと思うのだけれど
Re: (スコア:0)
二段階認証は一般人にとって難しすぎる&めんどくさい、なんだろうと思う。
実装したら、リテラシーの高い人なら積極的に導入するだろうけど、一般人はまずやらない。
そして、アカウントを盗まれるのはだいたい後者。
PINとかは一般層のリテラシーにはちょうどいいんだよ、きっと。
Re:やる気 (スコア:1)
>二段階認証は一般人にとって難しすぎる&めんどくさい、なんだろうと思う。
Step 1 :メッセージを受け取る携帯電話番号を登録する。
Step 2 :ID/Passwoord認証後に、携帯電話で設定用コードを受け取り、端末に入力し承認する。
一般的にはたぶんこういう手順だと思うけど、携帯でコード受け取ってそれを入力の部分が難しいのかな。
>PINとかは一般層のリテラシーにはちょうどいいんだよ、きっと。
PIN設定も手間としてはそうかわらない気がしてしまう。
Step 1 : PINコードを自分で設定
Step 2 : ID/Password 認証後に、 暗記しておいたPINコードを入力して認証確認。
(実際には使ってないので違ってたらすまんです)
結局本来のID/パスワードに追加で数桁の数字暗証番号を追加するような感じなのかな。
自分で決めるのがPINコードで、その都度システム側が発行して使い捨てるのが二段階認証としたら、
後者の方が若干強度高そうに思えるけどほとんど似たようなもんすかね。
でも、普段使わない端末から無理やり入ろうとしてたら警告や連絡が来るので二段階認証の方がわりと安心だと思ってる。
Re: (スコア:0)
お子様以外はなんだかきむ・・・気持ち悪いと言う理解だけで十分
まあ、 (スコア:0)
はじめゆるゆるあときゅっきゅ