-
- いいね!0
Nicholai MARO
@MAROCKs
【セキュリティの確保より利便性を優先する風潮について】 この度の7ペイ事件で7ペイ側は「私たちに瑕疵は無い、私たちに責任は無い」的論を張っていた。 また現時点でサービス提供を継続中である。 その根拠として「利便性の確保」がある。 記者会見では「利便性」という言葉が何度も出てきた。
2019-07-05 10:00:39
Nicholai MARO
@MAROCKs
■みずほダイレクトのパソコンの登録画面 2011年の06月にみずほには知らせた。結果「利用者の利便性を考慮して現行のままで行く」との回答を得た。 みずほダイレクトのログインページでは、全てのパソコンで「初回は三重の障壁」で守られている。
2019-07-05 10:00:39
Nicholai MARO
@MAROCKs
自分のみが使用するパソコンの場合、「普段使うパソコン」として登録する事で「三重の障壁」を「一つの障壁(パスワードのみ)」にできる。 ※ セキュリティ的には障壁が少なくなる。
2019-07-05 10:00:39
Nicholai MARO
@MAROCKs
とんでもないことに「普段使わないパソコンの場合チェックを入れる」のチェックがデフォルト「チェックなし」なのだ。 ついうっかり「次へ」をクリックすると、登録したく無いパソコンを登録してしまう可能性がある。 pic.twitter.com/enOREgX5Mj
2019-07-05 10:00:40
拡大
Nicholai MARO
@MAROCKs
□デフォルト値を変えよう デフォルト値が「チェックあり」になっていれば、登録したくないパソコンの場合はそのまま「次へ」をクリックすればよいし、登録したいパソコンの場合は明示的に「チェックを外す」ことで対応可能だ。 pic.twitter.com/T4EvY5ddpt
2019-07-05 10:00:41
拡大
Nicholai MARO
@MAROCKs
登録したくない場合に「ついうっかり」と「一手間かけて」「チェックを入れる人はいるだろうか?ゼロでは無いだろうけれど。 登録したい場合に「ついうっかり」「チェックを入れず」に「次へ」をクリックする人の方が多いだろう。
2019-07-05 10:00:41
Nicholai MARO
@MAROCKs
「ついうっかり」登録が出来なかったとしても、再度ログイン操作をしたときに「チェックを入れる」ことで登録は可能なのだ。この場合、「ついうっかり」をしてもセキュリティレベルが低下することは無い。 「登録したい」時にのみ「一手間かかる」方がセキュリティ的には安全なのだ。
2019-07-05 10:00:42
Nicholai MARO
@MAROCKs
「登録する」ということは三重の障壁を一つの障壁にすること、つまりセキュリティレベルを下げることなのだ。 となると「登録しない」操作よりも「登録する」操作の方が「一手間掛かる」方が安全なのだ。
2019-07-05 10:00:42
Nicholai MARO
@MAROCKs
「登録しない」操作よりも「登録する」操作の方が「一手間少なく」容易にできてしまう現在のログイン方法はセキュリティレベルが低いのだ。
2019-07-05 10:00:42
Nicholai MARO
@MAROCKs
□解決方法 文章とチェックボックスのロジックの対応は ・「普段使わないパソコンの場合チェックを入れる」ならチェックボックスはデフォルト「チェック有り」が安全 ・「普段使うパソコンの場合チェックを入れる」ならチェックボックスはデフォルト「チェック無し」が安全 のいずれでも良い。
2019-07-05 10:00:42
Nicholai MARO
@MAROCKs
「普段使うパソコン」として登録する場合に、操作手順を増やす・明示的に登録する方が「ついうっかり」で登録しない場合でも利用者のセキュリティは守られる。 (ログイン障壁は三重のまま)
2019-07-05 10:00:43