QUOIT Blog

簡単ログイン機能ってそもそも必要なのか

この記事は7年以上前の記事です。情報が古い場合がありますのでお気を付け下さい。

個体識別番号についての記事を書いていて思ったこと。
※偏見に満ちてますので、容赦ないツッコミは歓迎です。
※でも、あんまり言われると泣きます。


簡単ログイン機能の存在そのものに疑問を感じてます。

この機能が目指すところは、
・何回も同じID、Passを入力するのは面倒なので、省略したい
・携帯電話の入力機能は不便なことが多いので、簡単にしたい
ということだと思います。

PCサイトでも同じ機能はありますが、携帯電話の個体識別番号を使う問題点は
(1)盗難・紛失した際にもログイン情報が残る
(2)必ずしもSIMカードに割り当てられた番号とは限らない
ということでしょうか。

(1)の状況は、リモートロックや回線停止などで、ある程度回避できそうです。
この場合、問題になるのは(2)の状況です。

最近の携帯電話はSIMカードを差し込んで使います。
SIMカードを変えれば電話番号も変わります。

ということは。

簡単ログイン機能で、SIMカードではなく端末の情報で判別していた場合、
盗難・紛失の際であっても、SIMカードを差し替えればログインが可能になってしまうということになります。
・・・これって相当なリスクだと思うんですが・・・

簡単ログイン機能を検討している担当者の方は、そこらへんを強く意識してほしいものです。
担当者が理解してないってのはよくある状況ですがね・・・

おまけ:
携帯電話サイトに関わる人は、一度は読んでおくと良いです。
ITmediaモバイル:携帯電話に求められるセキュリティの条件

4 comments for “簡単ログイン機能ってそもそも必要なのか

  1. HOGE-CHON
    2009年9月28日 at 6:41 PM

    要は、守るべき情報の価値とユーザビリティの天秤だと思う。
    ECサイトとかだと、悪用しようにも、
    1.嫌がらせ利用(大量の注文をユーザ宛に送る)
    2.拾った人が自分宛に商品を送る
    位でしょうが、
    1.> 運営側も不自然な注文は確認するし、返品にも応じる
    2.> 決済は必要で(主なところで銀行振込み,商品代引き,カード)どれをとっても拾った人が決済する必要がある。
    —-カード番号やら決済に必要な情報を運営側で保持するなんて大技は、単一ECサイト程度じゃ普通やらないし。しかも配送先で記録が残るので、悪用されずらい。万一悪用されても運営側で問題なく(ユーザに不満が残ることなく)処理できることが多い。
    ・・・といったところで、ユーザビリティの勝ちかな。

    第三者がログインできたら即大問題というわけではない点が大きいと思う。

    しかも、プライバシーポリシーやら利用規定やらで、「パスワードや端末の管理は利用者の責である」ことを明確にするわけだし。

  2. HOGE-CHON
    2009年9月28日 at 6:58 PM

    【追記】
    それよりも、ログイン状態の管理が甘くて、
    http://…../?uid=10035
    とかでuidのパラメータを代えるだけで他の人の情報が!?
    ・・・とかって言うお間抜け実装のほうが・・・怖い

  3. yakumo
    2009年9月28日 at 7:18 PM

    HOGE-CHONさん
    全くですねぇ。。。
    問題は、ユーザビリティとの天秤をちゃんとかけられる能力を持っているか、だと思います。
    WEB担当者と名乗る人なら、それくらいの判断は出来て欲しいものですが…と愚痴ってしまいたくなる今日この頃w