Scribble at 2022-07-16 16:29:12 Last modified: 2022-07-16 16:30:24
いわゆる "Google Auth" と呼ばれている、多要素認証の OTP(ワンタイム・パスワード)を出力するアプリケーションだ。このところは OTP を画面へ表示するために1回タップする必要があったのだが、ここ最近のアップデートで、再びタップすることなく OTP が画面に表示される仕様となった。つまり、このアプリケーションを立ち上げるだけで、登録しているアカウントの全ての OTP が画面に表示される。
もちろん、情報セキュリティという観点から言えば、このような仕様は危険である。どれほどアプリケーションの起動にロックをかけたりしても、この画面を表示してしまった時点で、たとえば外出しているときなら望遠レンズで画面を盗み見され、その場で(既に盗んでいる ID とパスワードを使って)攻撃者に OTP を使われてログインされてしまう危険はあろう。しかも、自分がいまからログインしようと思っているサービスとは別のサイトへ勝手にログインされても、その時は気づきようがない。
とはいえ、このようなアプリケーションは犯罪者やセキュリティ技術者や大学の研究者だけが使うものではないのだし、情報セキュリティとして危険だからといって無条件に仕様を変えていいはずがない。やはりユーザの使い勝手という基準を無視してはいけないだろう。たとえ、それが〈馬鹿に下駄を履かせるようなもの〉であっても、MTA という認証の仕組みを一定のリスクがありながらも維持するという利益の方が大きいのであれば、リスク・テイクするのが正しい商業サービスの開発というものであろう。無論だが、われわれプロはそういうリスクを個人として低減させるための対応(つまり往来でこういうアプリケーションでログインしない)をとればよいし、それがプロというものである。