滅びてほしい認証系の実装の話

こんにちは、富士榮です。

ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。

考えていると結局のところ、サービス提供側が意図していることとは全然違うことが起きている気がするので、この辺はしっかり考えて実装したいところですね。（実装ミスは問題外として）

カテゴリ	滅びてほしいもの	実装側がやりたいこと	利用者が感じること	実際に起きていること	代替手法
認証	CAPTCHA	bot避け	ぐにゃぐにゃ文字が読めない バイクと自転車の違いとは？	ユーザの離脱、カゴ落ち	パスキーの利用 新しいタイプのCAPTCHA（通常は画面に出ない） リスクベース認証との組み合わせによる抑制
認証	パスワード	誰でも使える認証手段の用意	忘れる。複雑なパスワードをそれぞれのサービス毎に管理するのは無理	パスワードの使い回し。パスワード漏洩が他サービスへ迷惑をかける（逆もしかり）	パスキーの利用
認証	パスワードマネージャが対応できないパスワードポリシー、input type要素の設定ミス。コピペができない、自分の設定したパスワードの確認ができない	何も考えていない（単なる考慮不足）	パスワードマネージャが使えないので自分でパスワード入力が必要で面倒くさい	簡単なパスワードの指定	パスワードマネージャを考慮した実装
認証	（届かない）OTP	認証強化（所持認証）	SMS受信できないSIMなんだけど なかなか届かない。すぐにログインしたいのに。	ユーザの離脱、カゴ落ち	パスキーの利用
認証	（音声通知のみの）OTP	認証強化（所持認証）	データSIMやiPadじゃ使えない 面倒臭い	ユーザの離脱、カゴ落ち	パスキーの利用
認証	input typeがpasswordになっているOTP（毎回記憶を促される）	何も考えていない（単なる考慮不足）	面倒臭い	パスワードマネージャが毎回更新の確認をしてくる	適切な実装
認証	キャリア回線認証	認証強化（所持認証）	wifi切り替えが面倒（別デバイスで使えない）	ユーザの離脱、カゴ落ち	パスキーの利用
認証	ソフトウェアキーボード	キーロガー対策	面倒臭い	ユーザの離脱、カゴ落ち	パスキーなど知識認証を使わせない仕組み （そもそもキー入力不要にする）
認証	定期的なパスワード更新	パスワードが漏洩していても安心	面倒。仕方ないので簡単なパスワードの末尾を1,2,3とインクリメントして使い回そう	簡単なパスワードの指定	複雑なパスワード要件の定義によるパスワードマネージャ利用の促進と併せて定期変更の無効化 パスキーの利用
認証	乱数表	認証強化（所持認証）	どこいった？	ユーザの離脱、カゴ落ち	ソフトウェア認証器、パスキーの利用
認証	第２パスワード	認証強化（多段階）	忘れる。意味は？	問い合わせの増加、ユーザ離脱	ソフトウェア認証器、パスキーの利用
証明書	オレオレ認証局のRoot CA入れろってやつ...w	第三者に頼らずに信頼できる環境を作り上げたい（JPKI・・・）	面倒くさい、やり方が複雑すぎる	ユーザの離脱、カゴ落ち	ブラウザベンダとの調整 上位レイヤーでのトラスト確保
リカバリ	秘密の質問	パスワード忘れへのヘルプデスク対応を減らしたい	どの質問にどう回答したか忘れる 出身地とかって他の人でも答えられるんじゃない？（全然秘密じゃない）	アカウント乗っ取り	同期可能パスキーの利用
リカバリ	パスワードリマインドで平文パスワードが送られてくる	パスワード忘れへのヘルプデスク対応を減らしたい	不安。。	ユーザの離脱、カゴ落ち	同期可能パスキーの利用
識別	独自ID（メールアドレスじゃない）	好きなIDの利用によるロイヤリティ	忘れる 好きなものが取れない 変えられない？	ユーザの離脱、カゴ落ち	オートフィル 変更可能なIDの利用
本人確認	eKYC（セルフィー＋免許証の顔写真比較）	本人確認	うまくいかない	券面偽造による不正登録	ICチップの利用
登録	偽ソーシャルログイン（メアドのverifyやパスワード登録を求めてくるやつ）	属性入力の簡素化による離脱防止 認証手段は自前で用意することによるサポートの簡素化	ソーシャルログインなのになぜパスワード登録が必要なのかわからない	ユーザの離脱、カゴ落ち	属性登録と認証手段登録の分離（UX） 認証手段としてパスキーをデフォルトにする
決済	カードのCVVを入力させる	決済を確実に、素早く実行できるのでカゴ落ちが減る	不安。。	ユーザの離脱、カゴ落ち PCIDSSの取得が必須になりコストアップ	3Dセキュアなどに任せてしまう

他にもあればぜひご意見ください。