Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

パスワード認証の無効化で「パスワードリスト攻撃」に対抗 - ヤフー

ヤフーは、「Yahoo! JAPAN ID」において携帯電話を用いたログイン認証機能の提供範囲を拡大するとともに、パスワード認証の無効化機能の提供を開始した。

同社では、2017年4月より、新規ユーザー向けに携帯電話を使用することで、パスワードを設定しない認証機能を展開しているが、従来対応していなかった2017年4月以前から利用する既存ユーザーに対しても同機能を提供するという。

同機能は、スマートフォンより設定し、携帯電話番号とSMSやメールで毎回送信される確認コードを利用して認証を実施。従来、あらかじめ設定する必要があったパスワードを利用せずに認証を行う。

手はじめにソフトバンクのスマートフォンから、IDやパスワードを利用せずにYahoo! JAPANが運営するサービスにログインできる「スマートログイン」を設定しているユーザーを中心に提供。段階的に提供範囲を拡大していく予定。

同社は同機能の提供にともない、すでに設定してあるパスワードの無効化に対応。パスワードによるログインそのものをできなくすることで、外部で入手したIDとパスワードを用いて不正にログインを試みる「パスワードリスト攻撃」を防ぐことができるとしている。

20180522_yj_001.jpg
パスワードリスト攻撃を防御するイメージ(図:ヤフー)

(Security NEXT - 2018/05/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ドメイン管理にメールによる追加認証をオプションで提供 - GMO
LINE、決済サービスに不正利用損害を補償する制度
検知した攻撃者のIPアドレスを反映 - 「Capyリアルタイムブラックリスト」
不審アクセスを検知する「RSA Web Threat Detection」に新版 - 不正ログインにも対応
JP-Secure、WordPress用無料プラグインを公開 - 不正ログイン対策など提供
ソフバンテク、攻撃の実態踏まえたペネトレ診断サービスを開始
ラック、安全性と性能の両面から診断する新サービス
JP-Secure、Apacheモジュール型WAF新版を発売 - 不正ログイン攻撃対策を強化
ニフティ、ウェブ経由のログインにOTPを導入
シマンテック、認証ソリューション「VIP」にモバイルプッシュ認証を追加