にくりっく(2 click)で認証が完了するというサービス「にくりっく認証」を知った.
にくりっく認証 - Keytel Co.Ltd.
「ワンタイムで作成されるメールアドレス宛にメールを送信すると認証される」とある
# うーん...
個人的意見を以下に述べる
つまりところ「電子メールアドレスが認証情報として信用できるか」という前提を受け入れられるかどうかが大きな分かれ目になるサービスである.そういう前提の基で利便性が高いとうたっているサービスである.
- 「電子メールのFROM行が詐称できない」という条件は、現時点では素直に了承できない人が少なからずいるだろう
- DKIMが普及すればFROM行の詐称は困難になるとあるが、これは本当? (当方はよく理解していない)
- 見方によっては(メールアドレスを個人の所有物とすれば)所有物認証と言える.つまりそのメールアドレスでメールを発信できる機器に対して盗難や窃盗に対する脅威がある
- 「スパイウェアによる脅威はない」とあるが、そうは見えない.この認証を提供しているサーバのIPアドレス or ホスト名、そしてそのユーザのメールアドレスをスパイウェアが取得すれば、なりすましへの必要条件は揃うことになる.あとは、認証サーバにアクセスし、そのユーザのメールアドレスでメールを送信すればよい.
- フィッシング対策にもなるとも書かれているが、何をもってフィッシング対策というかによってこの言葉は真にも偽にもなる気がする.ただしこのサービスを攻撃するのであれば、フィッシングサイトを用意するよりも、他の方法で利用者のメールアドレスを取得する事の方が攻撃者としては効率が良いと推測する.
- 同じような原理で、メールアドレスのかわりに携帯電話の発信者番号通知を利用して認証をする方法「キーテル認証(ダイヤル)」も提案されている.が、これも上記同様「携帯電話の発信者番号は詐称することができない」という条件を受け入れられるかどうかが分かれ目になるサービスである.実際に日本でも携帯電話の発信者番号を詐称した(と思われる)事件は発生しており、世界的にみても発信者番号詐称の事例はいくつかある.また携帯電話やIP電話になると、その詐称も容易になってきているという見方をした方が無難ではないかと個人的には考える(クローン携帯とか).特に今時の携帯電話は難しいことをして発信者番号を詐称しなくても、SIMカードさえ取得できれば、その番号を持つ携帯電話になりすますことはできてしまう.
ケイタイ進化論 - Cyber Academy
「振り込め詐欺」は発信者番号を偽装する? - Slashdot
発信者番号を偽装した「振り込め詐欺」に注意 - ケータイwatch
ドコモとauが発信者番号偽装の防止策を3月から実施 - Cnet
ボーダフォンも偽装電話番号の悪用防止策を導入開始 - Cnet
海外ではこんなこともあるようです
発信者番号表示 操作 罰金500万ウォン
FCC, 発信者番号なりすましサービス提供サイトを調査 - wiredvision
個人的見解としては、携帯電話も計算機もただの機械であり、それらの属性情報を認証情報としては使いたくないなと思ったり.
また別の興味としては、こういう認証サービスはどういうTarget(客層)なら使用するのだろうか? という点である.認証は利用シーンや必要とされる安全性や利便性に応じてさまざまな認証手法があっても良いと言われているのが現状であるが、現実にはそうはなっておらず、伝統的な認証手法がさまざまなところで今も利用されているのが現状である.こういう利便性重視の認証は、どのようなシーンでなら受け入れられるのだろうか?
Posted by z at December 2, 2007 01:24 AM