2020年5月15日

2段階認証を有効にしましょう

結局定額給付金の申請はマイナンバーカード、カードリーダライターがありながら申請書を手書きし切手を貼って郵送しました。

あほくさ。


さて、7Payのセキュリティー上の欠陥のこと覚えてますか?

お粗末なシステムと社長のあの、しろうともあきれた謝罪会見。セブンイレブンは事実上の創業者であった鈴木会長を追い出してから迷走を続けるのでしょうか?

凡庸で、時代を拓く先見性と気概のない社長が企業のトップをやるとどうなるかの見本のようなものだった。


かくいうあたいもセキュリティー管理があまあまで名前由来の数個のパスワードを使いまわしている。あの、ゆるゆる社長のことは笑えんとです。

それではいけないと思い立った。


① かんたんにいうと、

「ID」と「パスワード」だけではセキュリティー対策にならないということ。

「定期的にパスワードを変更」しても気休め程度で、悪い人たちがその気になればくぐりぬけられる。


② だから、なりすましによって「ID」と「パスワード」が破られたときのための次の認証システムが必須となる。

城攻めでいえば「外堀」と「内堀」の2つのお堀で敵の侵入からお城を守る。

内堀にあたるのが「本人だけが知る要素」でそれを2つ以上加えた認証システムを「多要素認証」という。

③ 本人だけが持つ保険証は1要素を満たす本人認証書類ではあるけれど持っているだけではネット上で操作しているのが本人であることの証明にならない。

そのため、これに加えて運転免許証の添付を求められたりする。この「顔写真」が2要素目となる。


④ だからといっていちいち保険証だの免許証だのの添付を求めていたのではやってられない。(7Payはパスワードを忘れた時の再発行が面倒にならないよう利用者の利便性を優先した結果ゆるいシステムにしてしまったのが狙われた)

そこで、スマートフォンが普及している現在これを認証ツールとして使わない手はないとしてこれに目をつけた。

本人が携帯しているスマホに「SMS」というショートメッセージにランダムな暗証番号を送る、という方法で2段階目の「認証」を行うことにしたのだ。

スマホに送られたパスコードを入力しなければ認証されないことにした。

スマホはみんなが持ち歩いており「本人」であることを確認しやすく、さらに送信された数字は一定時間のうちに入力しないと無効になってしまう手の入れよう。



⑤ 加えてスマホ自体に「パスコード」、さらにより強力な「顔認証」や「指紋認証」が設定されており高い安全性が確保されている。

すなわち、なりすまし野郎がなりすまそうにもできない仕組みにしてあるということだ。


セブンイレブンの場合、カード事業部の社長がこの「多要素認証」、「2段階認証」を知らずに、多額の被害を被ったという。じっさいのところ知ってはいたが経営トップの利用者の利便性を優先する意見に押し切られたといわれている。セブンイレブン経営トップのセキュリティーに対しての軽視と無知がその根っこにある。

PayPayなどのバーコード決済においてもこの「2段階認証」が使用されている。


遅ればせながらはたぼーもまずはAmazonから2段階認証に移行することにしましたが、今後この認証システムも万全でなくなる時がくるでしょう。

本人確認、所得が減少したという確認のバーを下げた結果、補助金や給付金を狙った詐取も相当数出てくるでしょうが行政は目をつむる覚悟でいるように見えますね。

2020/5/15

Comments

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です