使い捨てコードをメールで送る方式は、パスワードよりも悪い

• 最近、多くのサービスが メールまたは電話番号ベースの6桁コードログイン 方式を導入している
  • メールアドレスや電話番号を入力すると6桁の認証コードが送信され、それを入力してログインする
• この方式は アカウントのセキュリティに深刻な脆弱性 をもたらす
  • 攻撃者は単に 他人のメールアドレスを正規サービスに入力 して、認証コードの送信を要求できる
  • ユーザーは受け取った認証コードが 本当に正しく使われるべき状況なのか、それともフィッシングの試みなのかを簡単に判断できないという問題がある
  • Password manager（パスワードマネージャー）のような既存のフィッシング防止ツールの効果がない
• この認証コード方式は、実際に悪用事例が継続的に発生している
  • 実際にMicrosoftが運営する Minecraftアカウントのログイン でも類似の方法が使われている
  • Reddit、YouTubeなどさまざまなオンラインコミュニティやメディアで 複数のアカウント盗難事例 が報告されている

結論

6桁コードのメール認証方式は、セキュリティ面で予想以上に 脆弱な方式 である

• 従来のパスワード方式に比べて、むしろフィッシングのリスクが 大幅に増加する
• ユーザー体験の改善やセキュリティ向上のために導入された方法だが、実際にはより悪い結果を招く 可能性がある