認証方法は「IDとパスワードのみ」が7割超 ネットサービス事業者の甘さ露呈
コメント
注目のコメント
平常時は「手間がかからない」というベネフィットを得られる一方で、有事には大変な損害につながりうるという点で逆保険のような構図。
実際、オンラインバンキングなどはログイン自体は他サービスと変わらない一方で支払い時にワンタイムパスワードが求められる設計になっています。
サービス単位でなくアクション単位でセキュリティレベルを設計するということが利便性とユーザビリティの両方を担保する現実的なもの落としどころなのかなと思います。いちユーザーとしての意見ですが、手間と堅牢さがトレードオフになることは分かっているので、ユーザーに選択させてもらえれば良い。
この記事でも「二段階認証はユーザーの離脱を招く」と書かれていますが、私の知る限り二段階認証必須のサービスなんてほとんどなく(オンラインバンキングの振り込み時の謎のアレくらい)、GoogleやFacebookなどでも二段階認証は選択方式です。ユーザーが利用したい場合にオンにすることができる。この方法であればユーザーの離脱を招くなんてことは発生しないので、私からすればユーザーの離脱がといっている事業者は「体のイイ言い訳」として使っているように思います。セキュリティってのはまず減点方式でちゃんと100点とることが大事であって、何か一つでも穴があるとまあだいたいダメです。7ペイの問題は「2段階が無かった」ことではなくて、「パスワードが実質無効化されていた」ことであって、「(1階が抜けても)2階があったら大丈夫」というのは嘘ではないですがそもそもの問題は2階がないことじゃなくて1階が形骸化してたことです。他の方も言ってますが、そもそもgmailだって2段階必須ではないし、だいたいはメアドとられたらパスワードもとられるわけで、もちろん2段階に対応するのはいいですが、まずはちゃんと当たり前のことを当たり前にしましょうというのが大事です。
