  |
はてなキーワード: ワンタイムパスワードとは
メーカー直営のサイトでノートPCを買おうとしたんだけど、結局、2時間かけても買えなかった。
まず、価格.comでスペック検索して機種を選んでリンクで飛んだのだが、その先には目当ての商品を含めて4つ表示されている。
どれだよ?
次に、「購入する」ボタンが無い。
ブラウザの問題かなー、と思って、firefoxだけじゃなくchromeとedgeも試したけど、ダメ。
「それくらい押して確かめてみろよ」と思うだろ?
でも、「カスタマイズする」ボタンを押した先のページでは、別の機種をカスタマイズする画面が表示されるんだよ。
firefoxではなくchromeで「カスタマイズする」ボタンを押せば選んだ機種をカスタマイズできることに気づいて、先に進む。
クレカ決済を選ぶ。
当然のように通らない。
クレカのワンタイムパスワードを正しく入れても、その後でダメ出し。
「異常を検知したけど、本人だったらもう一回やってみて」
セキュリティとしては、それはありなのか?
仰せの通りにもう一回試すが、通らない。
クレカの会社に電話すると、「オッケー。使えるようにしとくね。」
みたび試そうとしているところで、時間切れ。
え、時間切れ?
お取り置きって……
世界で○番目にたくさんノートPCを売っている会社が、30分しかお取り置きできない程度しかカスタマイズもとのノートPCの在庫が無いのか?
そういえば、先にログインしておくべきだった。
PCなんてそうそう買うもんじゃないし、アカウント消えちゃったかな。
気を取り直して、アカウントを作り直そうとする。
「permission error: you have no ...」
今どき、こんな生のエラーメッセージを読まされるのも珍しい。
懐かしさすら感じるよ。
よくわからんが、ログイン関係のボタンは、押す直前に開いていたページによってはエラーが出るらしい。
「このメールアドレスは使用されています。サインインをしてください。」
これは俺が悪かった。
登録済みのアドレスでメールを受け取って、新しいパスワードの設定。
クレカのワンタイムパスワードも正しく入力して、最後に購入ボタンを押すと……
「このクレジットカードはご利用いただけません」
Androidユーザーだけど、今久しぶりに整理してみたら他の人はどうしてるのかなって気になった。以下自分のフォルダ構成(全然納得は行ってない)。
以下フォルダとその中身
カレンダーとか、マイナポータルとか、お薬手帳アプリとか、自分の生活に関わるアプリはここ。クックパッドもここ。なんかChargeSPOTのアプリもここに入ってた。初めて入れたときに電池なくて切羽詰まってて生活の危機を感じたからだと思う。
銀行や証券、モバイルSuicaなどがここ。マネーフォワードもここ(有料版使ってます)。
Xやインスタ、Facebookなど。はてブもここ。Pinterestは迷った末にここに入れた。
動画と音楽で分けてたけど、今回の整理で「メディア」に統一した。YouTube、NHKプラス、ニコ動、Twitch、YouTube Musicなど。ほんとは「音声情報のあるメディア」なんだろうけど、長いので割愛。
Google のHomeアプリやルンバのアプリ、スマホでお風呂が沸かせるアプリなど。フォルダ名「家電」にしてたけど、今回変更。
kindleや楽天koboなど。待って無料で読むのは性に合わず買うタイプのeコマースのリーダーだけ入ってる。
電卓、ドライブ、レコーダー、ワンタイムパスワード生成ツールなど。お道具箱のイメージ。
よく使うのはマツキヨココカラ、JRE POINT、セブンイレブンなど。増えていく一方のカオスフォルダ。
メルカリ、楽天市場、Yahoo!ショッピングなど。ポイント・会員証との棲み分けがやや難しいものもあるが、アプリそれ自体に買い物する機能があるならこっち。「自販機」は別フォルダに分けていたが、結局Coke ONしか生き残らなかったのでこちらに統合。
このフォルダのネーミングが難しい。もともとNAVITIMEやマップだけだったが、楽天トラベルもここに。シェアサイクルやシェアスペース、快活CLUBのアプリもここにした。食べログも迷った末にここに。
ソシャゲはあんまりやらないので気が向いたらカイロソフトなどの有料ゲームを買ってここに入れて終わったらアンインストールしてる。Steamアプリを最近ここに入れた。
上記フォルダ構成に加え、Tenki.jpのウィジェットとGoogleカレンダー、keepメモの買い物リストのウィジェットを配置して今回の整理は終わった。
バッカじゃねーのかな。
この仕組みを考えた奴何も考えてねえだろ。
こう言う頭のいいふりしたバカにシステムを作らせてはいけない。
eSIMを設定したモバイルルータが死んだので、楽手モバイルでeSIMの再発行手続きをしたところ、二段階認証の表示が出た。
SMSまたは登録のメールでコードを送ったのでみてね、だそうである。
しかし待てど暮らせどメルアドにコードが送られてこない。なんだこれは。
https://network.mobile.rakuten.co.jp/faq/detail/00001914/
継続的にセキュリティー対策を強化しており、5月下旬より一部のお手続きについてワンタイムパスワードの送信方法をメールからSMSに変更しました。
は?
ばっかじゃねーの? ホテルで部屋のパスワードを忘れたので新しく発行してくれと言ったら、部屋の中にメモを書いておいといたと言うようなものである。鍵を開けるための鍵を鍵の中においてどうするのか。
さらに
送信されるメールには15分間有効と記載されていますが、ワンタイムパスワードの有効期限は発行から3分です。
どこを探しても見当たらないので、楽天モバイルのチャットサポートに行った。
例によって延々とFAQを検索しろ、このページを見ろと書かれたページを下までスクロールし、チャットサポートをオープンするリンクを見つけるも、最初はbotに繋がり、botに「SMS認証されてもSMS受診できないんだが」と入れて上記の何も答えになってないページを案内され「満足しねえよ」のボタンをおし、さらに「解決しねえよ」というボタンをおし(ここで満足をおすと解決扱いになってオペレータ接続のボタンが出てこない)ようやく出てきた「オペレータとの連絡を希望」のボタンを押すことで、真のチャットサポートにたどり着いた。
オペレータとの接続を待たされること1時間弱、出てきたオペレータに状況を伝えると、何と特に本人確認もせず「今から30分間だけ二段階認証を解除するのでその間に手続きしてくれ」と言う答えだった。
そして楽天アプリでリロードすると、今度はワンタイムパスワードを入れると言う画面にならずにあっさりと認証が通って、eSIMがあっさり使える様になった。
使える様になったのはいいんだが……あれ?ワイ、今何にも本人である事の証明とかやってないけど!?
ばっかじゃねーの?
ということで
これは一体何なのか。シンプルにいって考えた奴はセキュリティのことを何にも分かってない。セキュリティってのは犯罪から守ると言う意味ではない。完全性・可用性についてもセキュリティだ。これはセキュリティの中に警察だけではなく、消防救急が含まれる事からも明らかだ。
しかし、こいつはセキュリティ強化といって完全性・可用性を捨てた。こんな基本的な事すら分かってないやつが楽天で意思決定してんのか?
そして、仮に乗っ取りなどの対策強化と言う点でも、実際のケースを想定して仕組みを組み立てていないので、多要素認証を真っ当にやるよりも安全性が低下している。
確かに電子メールで多要素認証は、メールは盗聴が簡単であると言う点から考えると不確実性は高い。だが、そこでSMSが使えない時に行われると想定される手続きで、SMSを強制したうえで、重大なセキュリティホールを開けてしまう理由にはならない。
例えば、登録されている電話番号から番号通知ありで電話させて認証するだとか、楽天アプリで認証させるとか、決済情報の一部を入力させるとか、eKYCやマイナカード認証を強いるとか、色々で多様な認証を用意しておき、そのうち利用できるものを複数組み合わせるとか、まともな方法はいくらでもある。
早く是正してくれ。
楽天トラベル素で間違えたわ。こうやって書くぐらい楽天経済圏に金を落としているのに、ご覧の有様や。
チャットサポートはログインしてないと利用不可だったとしても、eSIM再発行する楽天モバイルアプリとID/パスワードは共通やから何の意味もない。仮にそうでも、楽天経済圏(笑)のワイのような人間は、普段からログインしっぱなしやろうし、再認証とかなくスルーされて気付かん程度だったんだわ。
この状態でこの運用だとセキュリティー的にはザルもザルなことには変わりがない。今回はチャットサポートやったけど電話だとパスワード認証できんやろうしな。
某社の光回線に申し込んだんだけど支払い方法の登録が死ぬほどめんどくさかった
プロバイダのユーザーページにログインするID、パスワードと支払い用のauIDとパスワード。
ログインがうまくできないからパスワード再設定したら過去に使ってたau電話番号の休止中扱いのIDでログインされたり。やっとの事で新しいIDでログインできたと思ったら連絡先メールアドレスが昔のau電話番号の連絡先に設定されてるから別のメールアドレス設定しろ、とか言われたり。BIGLOBEとauの登録メールアドレスバラバラになっちゃったじゃんくそが。
おまけに4桁の暗証番号とかいわれて(なんに使うんだよ。4桁の暗証番号なんて電話会社の悪癖だよ。即刻改めろボケ)、暗号強度的に携帯番号下4桁使おうとしたら電話番号に含まれる文字列はアカンらしい。結局キャッシュカード用の一段強度強い4桁使うハメになってイライラ。
こんなもんもはや管理できるわけもなくどうせ次回必要になった時はパスワード再設定が必要になるのは目に見えてるわけで、もう初めからメールアドレスにワンタイムパスワード発行しろって。
はあまじはあ
サンライズ出雲の予約をしたいんだが、イライラポイントが多すぎて先に進めない
トップ画面から新規登録用のリンクが見当たらないから、ログイン画面に遷移してみたけど依然として見つからない。
仕方ないからPCから改めてログイン画面見たら、こっちは新規登録リンクがちゃんとあった。
文字にすると当たり前だろと思う人もいるだろうが、そう思う人は一回予約画面を見てみてほしい。
どこが必須入力項目なのか分からないし、出発時間とか入力しなかったら検索条件に追加しないUIにみえる。
UIを作ってる側にとっては常識かもしれんが、初めてそのサイト開いた人間にはなにを入力しなきゃいけないかなんてわからんのだが。
一番のクソポイント。
普通の人は何時に発車するかなんて知らねーんだよ
予約画面で何月何日何時何分出発って入力したら、自動的に近い条件の予約が表示されると思うだろ
なーにが「ご指定の条件では列車が検索できません。ご指定の内容を確認のうえ、検索しなおしてください。」だよ。
KFCのアプリが最近リニューアルされたんだけど、稀に見るやばい出来になってて笑える。
これまでのアプリは特段大きな不満もなく使えるものだったのに、何故かいきなりアプリが刷新された。
・これまでのアプリでは会員未登録でもマイルが貯まる仕様だったが、新アプリ移行後は会員登録しないとマイルが貯まらない仕様に。
で、会員未登録のままアプリをアップデートしたユーザーのマイルはすべて消滅。
・アップデートで未登録会員のマイルが消滅する旨について碌な告知もなかった。
・アプリに合わせて(?)リニューアルした公式サイトが内容すっからかんでやばい。
・会員登録しようとすると入力画面の携帯電話番号と郵便番号を入力出来る桁数が足りず詰む。
・ログインの為にワンタイムパスワードが必要だが、送られてくるSMSのパスワードが空欄で詰む。
・そもそもたかが飲食店のアプリなのに電話番号登録が必須でうざい。
・文字が途中で見切れている箇所が多数ありなんて書いてあるのかわからない。
・メニューを見たいだけなのに、最寄り店舗を選んで注文画面まで進まないとメニューが一切見られない。
・クーポンを見るのにもログインが必要。ログインしてないと一切のクーポンが見られない。
・マイル連携前からマイル表示を出しているせいで「あとNaNマイルでundefined会員」と表示されている。
・退会後の「ホームに戻る」ボタンが「私を家に連れて行って」と表示されている
とてもじゃないけど売上が1,000億近いメジャー飲食チェーンのアプリとは思えない衝撃の出来なので、ぜひチェックしてみてほしい。
次に会員登録時にメール確認画面に行くとその画面を閉じるとだめらしい。俺は閉じなかったけど閉じる可能性あるよね。はいクソ。
メールのワンタイムパスワードを登録したらなんかエラーになった。コピペなので間違いではないと思うのだが…まあエラーはいいんだが、そしたらメール再送とかじゃなくて最初から、住所とか全部書き直し。はいクソ。
ログインしたら集荷が全然見つからない。一度抜けて佐川 集荷で調べたら「飛脚宅配便受付サービス」がそれらしい。はいクソ。
集荷依頼しようとしたら送り状既に持ってるという選択肢なく相手先の住所必須。来てくれればいいだけだから。はいクソ。
面倒なので結局電話で集荷依頼したらまた住所言い直し。まあしょうがないけどクソ。
スパムメールに騙されて、スパム文面(下記参照)の「振込入金の詳細については、SMBCダイレクトでご確認いただけます。」のURLリンクを踏んでしまいました。
だけど、それは謂わばスパム側による囮の様なURLで、三井住友銀行のドメインだったので、幸運にも今回は難を逃れることができました。
今回のスパム側の主な目的は、メール受診者(スパム被害者)がHTML形式でメールを確認して、また、メールの内容を信頼して「ご確認」のURLリンク「ttps:https://www.shuhmsドットcom」(詐欺サイト)をクリックすることだと思われます。
私は普段から平文形式でメールを確認するので、(実際の被害を受けるという意味では)今回難を逃れたけど、普段からHTML形式でメールを確認していたり、情報弱者や高齢者だったら騙されやすいだろうと感じます。
ポイントは、「ご確認」のリンク先が「ttps:https://www.shuhmsドットcom」になっていた他、「振込入金の詳細については、SMBCダイレクトでご確認いただけます。」の次の行のURLの/kojin以下の文字列がオリジナルと違うことです。
それ以外、題名、送信元、メール内容についてオリジナルに擬態しています。
普段からスパムメールに注意していますが、スパムの擬態が高度化して、情報弱者が騙されやするなる閾値を超えたと感じたので、警鐘の意味を込めて書いておきます。
【スパムメール】
-------------------------------------------------------------------------
Subject: 【三井住友銀行】振込入金失敗のお知らせ
Date: Thu, 9 Mar 2023 **:**:** +0800
From: 三井住友銀行 <SMBC_service@dn.smbc.co.jp>
-------------------------------------------------------------------------
-------------------------------------------------------------------------
Date: Sat, 25 Feb 2023 **:**:** +0900
From: 三井住友銀行 <SMBC_service@dn.smbc.co.jp>
Reply-To: SMBC.Auto.reply@ar.smbc.co.jp
-------------------------------------------------------------------------
-------------------------------------------------------------------------
三井住友銀行より、ご指定口座への振込入金失敗についてお知らせします。
振込入金の詳細については、SMBCダイレクトでご確認いただけます。
ttps:https://www.smbc.co.jp/kojin/app/smbcapp.html?aff=dirct_mlODM1902001(←kojin以下の文字列がオリジナルと違う)
―――――――――――――――――――――
※振込依頼人から振込の「取消」「変更」「組戻」があった場合等、お知らせした明細と実際の手続が異なる場合があ
ります。
※本メールは、お客さまお届けのメールアドレスへお送りしています(本メールの再送依頼は受け付けておりません)
。
偽のメール等で誘導された当行を装う偽サイトに、お客さまの口座情報やワンタイムパスワード等を入力すると、不正
> ttps:https://www.smbc.co.jp/kojin/special/stop_phishing_crime/
「三井住友銀行」名でお送りするメールには、携帯キャリアのメールアドレス宛を除き全て電子署名を付けています。
> ttps:https://www.smbc.co.jp/security/smime/
閲覧しているサイトが当行の正当なサイトかどうかを、電子証明書により確認いただけます。
> ttps:https://qa.smbc.co.jp/faq/show/297?site_domain=default
本メールに対するメールでのご返信・お問い合わせはお受けしておりません。メールの内容に身に覚えがない場合や、
サービス等についてくわしく知りたい場合は、当行ホームページをご覧いただくか、以下より電話番号を確認の上、お
問い合わせください。
> ttps:https://www.smbc.co.jp/contact_list.html
> ttps:https://direct.smbc.co.jp/aib/aibgsjsw5001.jsp?sc=081
-----------------------------------------------------------------------
-------------------------------------------------------------------------
https://netkeizai.com/articles/detail/7922
経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込んでいる。
「クレジットカード番号等の適切管理義務の水準を引き上げるべく、サイト自体の脆弱性対策を必須化(システム上の設定不備改善、脆弱性診断、ウイルス対策等)」「不正利用防止措置として、利用者本人しか知り得ない・持ち得ない情報(ワンタイムパスワード・生体認証)による利用者の適切な確認(本人認証)の仕組みを順次導入(~2024年度末)」
各EC加盟店が、脆弱性対策と本人認証の仕組みを導入したかどうかについては、カード会社や決済代行会社が管理・監督するとしている。
今だって契約解除はできるけどカード会社側が被害は許容できるとして割り切ってんじゃん
被害が許容できなかったのは誰かという話になると
