パスワード認証の無効化で「パスワードリスト攻撃」に対抗 - ヤフー

ヤフーは、「Yahoo! JAPAN ID」において携帯電話を用いたログイン認証機能の提供範囲を拡大するとともに、パスワード認証の無効化機能の提供を開始した。

同社では、2017年4月より、新規ユーザー向けに携帯電話を使用することで、パスワードを設定しない認証機能を展開しているが、従来対応していなかった2017年4月以前から利用する既存ユーザーに対しても同機能を提供するという。

同機能は、スマートフォンより設定し、携帯電話番号とSMSやメールで毎回送信される確認コードを利用して認証を実施。従来、あらかじめ設定する必要があったパスワードを利用せずに認証を行う。

手はじめにソフトバンクのスマートフォンから、IDやパスワードを利用せずにYahoo! JAPANが運営するサービスにログインできる「スマートログイン」を設定しているユーザーを中心に提供。段階的に提供範囲を拡大していく予定。

同社は同機能の提供にともない、すでに設定してあるパスワードの無効化に対応。パスワードによるログインそのものをできなくすることで、外部で入手したIDとパスワードを用いて不正にログインを試みる「パスワードリスト攻撃」を防ぐことができるとしている。

パスワードリスト攻撃を防御するイメージ（図：ヤフー）

（Security NEXT - 2018/05/22 ） ツイート

PR

関連記事

モバイルアプリ向けに不正検知SDKを提供 - セキュアブレイン
オリコのクレカ不正申込対策で実証実験
EC-CUBE特化のクラウド型WAFサービス - イーシーキューブ
IPA、セキュ教育用教材を公開 - 指導者向けeラーニングも
ドメイン管理にメールによる追加認証をオプションで提供 - GMO
LINE、決済サービスに不正利用損害を補償する制度
検知した攻撃者のIPアドレスを反映 - 「Capyリアルタイムブラックリスト」
不審アクセスを検知する「RSA Web Threat Detection」に新版 - 不正ログインにも対応
JP-Secure、WordPress用無料プラグインを公開 - 不正ログイン対策など提供
ソフバンテク、攻撃の実態踏まえたペネトレ診断サービスを開始