2024年4月25日木曜日

滅びてほしい認証系の実装の話

こんにちは、富士榮です。

ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。



考えていると結局のところ、サービス提供側が意図していることとは全然違うことが起きている気がするので、この辺はしっかり考えて実装したいところですね。(実装ミスは問題外として)

カテゴリ滅びてほしいもの実装側がやりたいこと利用者が感じること実際に起きていること代替手法
認証CAPTCHAbot避けぐにゃぐにゃ文字が読めない
バイクと自転車の違いとは?
ユーザの離脱、カゴ落ちパスキーの利用
新しいタイプのCAPTCHA(通常は画面に出ない)
リスクベース認証との組み合わせによる抑制
認証パスワード誰でも使える認証手段の用意忘れる。複雑なパスワードをそれぞれのサービス毎に管理するのは無理パスワードの使い回し。パスワード漏洩が他サービスへ迷惑をかける(逆もしかり)パスキーの利用
認証パスワードマネージャが対応できないパスワードポリシー、input type要素の設定ミス。コピペができない、自分の設定したパスワードの確認ができない何も考えていない(単なる考慮不足)パスワードマネージャが使えないので自分でパスワード入力が必要で面倒くさい簡単なパスワードの指定パスワードマネージャを考慮した実装
認証(届かない)OTP認証強化(所持認証)SMS受信できないSIMなんだけど
なかなか届かない。すぐにログインしたいのに。
ユーザの離脱、カゴ落ちパスキーの利用
認証(音声通知のみの)OTP認証強化(所持認証)データSIMやiPadじゃ使えない
面倒臭い
ユーザの離脱、カゴ落ちパスキーの利用
認証input typeがpasswordになっているOTP(毎回記憶を促される)何も考えていない(単なる考慮不足)面倒臭いパスワードマネージャが毎回更新の確認をしてくる適切な実装
認証キャリア回線認証認証強化(所持認証)wifi切り替えが面倒(別デバイスで使えない)ユーザの離脱、カゴ落ちパスキーの利用
認証ソフトウェアキーボードキーロガー対策面倒臭いユーザの離脱、カゴ落ちパスキーなど知識認証を使わせない仕組み
(そもそもキー入力不要にする)
認証定期的なパスワード更新パスワードが漏洩していても安心面倒。仕方ないので簡単なパスワードの末尾を1,2,3とインクリメントして使い回そう簡単なパスワードの指定複雑なパスワード要件の定義によるパスワードマネージャ利用の促進と併せて定期変更の無効化
パスキーの利用
認証乱数表認証強化(所持認証)どこいった?ユーザの離脱、カゴ落ちソフトウェア認証器、パスキーの利用
認証第2パスワード認証強化(多段階)忘れる。意味は?問い合わせの増加、ユーザ離脱ソフトウェア認証器、パスキーの利用
証明書オレオレ認証局のRoot CA入れろってやつ...w第三者に頼らずに信頼できる環境を作り上げたい(JPKI・・・)面倒くさい、やり方が複雑すぎるユーザの離脱、カゴ落ちブラウザベンダとの調整
上位レイヤーでのトラスト確保
リカバリ秘密の質問パスワード忘れへのヘルプデスク対応を減らしたいどの質問にどう回答したか忘れる
出身地とかって他の人でも答えられるんじゃない?(全然秘密じゃない)
アカウント乗っ取り同期可能パスキーの利用
リカバリパスワードリマインドで平文パスワードが送られてくるパスワード忘れへのヘルプデスク対応を減らしたい不安。。ユーザの離脱、カゴ落ち同期可能パスキーの利用
識別独自ID(メールアドレスじゃない)好きなIDの利用によるロイヤリティ忘れる
好きなものが取れない
変えられない?
ユーザの離脱、カゴ落ちオートフィル
変更可能なIDの利用
本人確認eKYC(セルフィー+免許証の顔写真比較)本人確認うまくいかない券面偽造による不正登録ICチップの利用
登録偽ソーシャルログイン(メアドのverifyやパスワード登録を求めてくるやつ)属性入力の簡素化による離脱防止
認証手段は自前で用意することによるサポートの簡素化
ソーシャルログインなのになぜパスワード登録が必要なのかわからないユーザの離脱、カゴ落ち属性登録と認証手段登録の分離(UX)
認証手段としてパスキーをデフォルトにする
決済カードのCVVを入力させる決済を確実に、素早く実行できるのでカゴ落ちが減る不安。。ユーザの離脱、カゴ落ち
PCIDSSの取得が必須になりコストアップ
3Dセキュアなどに任せてしまう


他にもあればぜひご意見ください。



1 件のコメント:

  1. PWマネージャーに…系だけど、「2つより多い入力欄のある認証フォーム。」

    返信削除