ヤフーが新たに採用した認証方式とは？

ヤフーが「Yahoo! Japan IDのパスワードを無効化する機能」を発表し、新たな認証方式を採用しました。どういう認証方式でしょうか？

1. ワンタイムパスワード
2. 生体認証
3. ICカード
4. CAPTCHA

1

2018年5月18日、ヤフーはセキュリティ向上の新たな取り組みとして、 「Yahoo! Japan IDのパスワードを無効化する機能」を発表しました。Yahoo! Japan IDのユーザー認証は従来、ユーザーがあらかじめ設定しているパスワードを用いていました。そのパスワードを無効化し、新たにワンタイムパスワードで認証を行うようにしました。

ワンタイムパスワードとは、一度しか使えないパスワードのことであり、認証の度に新たに発行されます。ヤフーでは、登録したスマートフォンの携帯番号のSMSによって、ワンタイムパスワードを送付するようにしました。従って、その携帯番号の利用者しか、ワンタイムパスワードを受け取れません。

ヤフーがワンタイムパスワードを導入した主な目的は、「リスト型攻撃」による不正アクセスの防止です。リスト型攻撃とは、攻撃者は不正に入手したIDとパスワードの組み合わせのリストを用いて、他サービスへの不正ログインを試みる攻撃です。近年は同じIDとパスワードを複数のサービスで使い回すユーザーが多いのが現状であり、被害が増えています。

従来の固定のIDとパスワードは、そういったリスト型攻撃のリスクが高いため、ワンタイムパスワードに切り替えたのです。ワンタイムパスワードはたとえ漏えいしても、一度しか使えないゆえに、他サービスへの不正アクセスには利用できないため、セキュリティをより強化できます。

なお、選択肢2の生体認証は、指紋などユーザーの体の一部で認証する方式です。選択肢3はICカードで認証を行う方式です。選択肢4のCAPTCHAは画面上にゆがんだ文字で表示される英単語などの入力によって認証する方式です。人間の目でしか識別できない文字にすることで、マシンの自動ログインによるサービスの不適切利用を防ぎます。

ワンタイムパスワードのメリットとデメリット

メリット
• 固定のパスワードに比べ、リスト型攻撃のリスクが極めて低い
• ユーザーはパスワードを覚える必要がなくなる

デメリット
• ワンタイムパスワード発行システムが必要であり、そのぶん導入・運用コストを要する
• 登録した携帯番号の端末が盗難されると、不正ログインを防げない