「メールが認証である」パターン

(rubenerd.com)

4 ポイント投稿者 GN⁺ 2024-09-09 | 1件のコメント | WhatsAppで共有

ほとんどの人は広告ブロッカー、制限されたJavaScript、パスワードマネージャーなどを使っていない
多くの人が次のようなログイン手順をたどる
- ログインページへ移動
- 「パスワードを忘れました」をクリック
- メールを開く
- 復旧リンクをクリック
- 覚えていない一時パスワードを入力
- 繰り返す
人々になぜこのような手順を踏むのか尋ねると、たいていは理由を分かっていない
パスワードマネージャー、なりすましのリスク、二要素認証および多要素認証の必要性についてはすでに多く議論されている
人々がなぜ「パスワードを忘れました」を認証手段として使っているのか、という疑問
これは意識的な決定ではなく、時間をかけて形成された習慣である
こうした習慣を利用して、人々がより良い方法でシステムを使えるよう設計できるか、という考察

GN⁺の要約

この記事は、人々がパスワードを忘れる手順を通じて認証を受ける習慣を扱っている
パスワードマネージャーと二要素認証の必要性についてはすでに多く議論されているが、人々がなぜ特定の手順に従うのかという疑問を提起している
こうした習慣を活用して、より良いセキュリティシステムを設計できる可能性を探っている
類似した機能を持つ製品としては、LastPass、1Password などがある

1件のコメント

GN⁺ 2024-09-09

Hacker Newsの意見

メールアカウントはオンライン認証で最も一般的な方法
- 電話番号も有力だが、人は携帯電話をなくすことがある
- 電話番号のセキュリティはメールアカウントより低い
- ユーザー認証システムを設計する際は、アカウント復旧を考慮すべき
ビジネスが簡便さを提供する場合、メール認証システムを使う
- ユーザーがメールを入力
- メールで認証コードを送信
- ユーザーがコードを入力すると「無期限」でログイン状態を維持
- 新しいメールなら自動でアカウントを作成
- 一部のユーザーは複数のメールを使って誤って新しいアカウントを作ることがある
- この方法は登録およびログインの転換率を大きく改善する
パスワードベースの認証システムは非現実的
- パスワードは2つの方法で使われる
  - パスワードマネージャーを通じて単一のパスワードで保護
  - 複数のサービスで同じパスワードを繰り返し使用
- ほとんどのサービスはメール復旧を提供する
- 個人のメールアカウントはほとんど変更されず、共有されず、使い回されない
メールで使い捨てURLリンクを送ってログインする方法を提案
- リンクは10分以内に期限切れになり、使い捨て
- リンクを持つ人はログインできるが、メールからしかアクセスできない
- セキュリティはメールアカウントに依存する
サービス提供者がユーザーに不便を強いる理由は単純
- メール提供者のセッションはほとんど終わらない
- サービス認証トークンをGmailのセッション時間と同じに設定するか、OTPでログインできるようにする
ほとんどの人はコンピューター作業を試しながら解決する
- ソフトウェアはシステムをよく理解している人が作るが、ユーザーはそうではない
- ユーザーは動作するパターンを見つけると、それに固執する
- 多くの学校がタブレットを使うため、コンピューターの使用感覚を身につけられない
パスワードを忘れる手順を省略し、メールを認証として使うサイトがある
- メールアドレスを入力
- コードを含むメールを受信
- コードを入力してログイン
- 複数のメールを使う人には不便かもしれない
Best Buyでは似た方法を使っている
- パスワードマネージャーでパスワードを保存しているが、ATO保護のためパスワードが無効だと表示される
- 問題を解決しようとして疲れ、結局いちばん簡単な方法に従うことになる
ログインフローは似ている
- A) ウェブサイトを訪問し、パスワードマネージャーでパスワードをコピー＆ペーストし、メールでTOTP要求を受け取る
- B) ウェブサイトを訪問し、「パスワードを忘れた」をクリックし、ログインリンクを受け取り、任意の文字列を入力
- Bの方法のほうが速いこともある
ユーザーがパスワードを保存しない理由は、パスワードマネージャーがないから
- パスワードマネージャーを知っていても、共有クラウドPCで作業するときはアカウントの切り替えが面倒
- パスワード保存機能がないサイトでは、パスワードを保存しない

「メールが認証である」パターン

GN⁺の要約

関連記事

1件のコメント

Hacker Newsの意見