「1行のJavaScriptコードを追加するだけで二要素認証を実現」というサービス、別の意味で注目される
2014年6月21日 20:29
あるAnonymous Coward 曰く、 「実践クラウド」なる企業が、「日本初となるJavascriptコードを一行貼るだけで電話認証の仕組みが導入出来る」というサービス「JISSENスマートオース」を発表したのだが、実装の微妙さとWebサイトにある文言で別の意味で注目を集めている。
二要素認証はGoogleなどが採用している認証方式で、Webブラウザ上でのログイン時に、携帯電話にSMSなどを送信することで認証を行うもの。仕組み上携帯電話番号の登録が必要なのだが、スマートオースのWebサイトには当初「取得した電話番号を使ってSMS等によるCRM戦略も展開可能になります」との文言があり、これは個人情報の目的外使用に相当するという指摘が寄せられた模様。そのためWebサイトは早々に修正され、お詫びと訂正が掲載されている。
これ以外にもツッコミどころは多く、クライアント側で動作するJavaScriptで認証を行うということでクライアント側の操作で認証を突破できる可能性が指摘されているほか、一時公開されていたデモにおけるセキュリティ面での実装のまずさなどもTwitterで指摘されている。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | プライバシ
関連ストーリー:
あなたの電話番号は勝手に評価・格付けされている? 2013年11月20日
Twitterの2段階認証、企業などの公式アカウントでは役に立たない? 2013年05月26日
Google のトークン認証システム、オープンソースで公開中 2011年03月07日