『メールを確認するためにはアプリを切り替えなければならないが、戻ってくるとワンタイムパスワードが変わっている(異なる候補が表示されている)状況とみられる』事実なら間抜けである。
独自方式なんか作らず、一般的に使われている手法を使えばこんな事にならずに、と思う一方、TOTP だとフィッシング対策としては限界があるからなぁ。パスキーが分かりやすく使い勝手が良ければなぁ。
iGROWが作りが悪くてiSpeedは問題なく認証できている。多分スマホの生体認証を使う場合は即時ロックなのでそのあたりがアンマッチだと思う。テスト環境は生体認証ロック使ってないと思われ
楽天トラベルでも以前酷い不具合あったな。ちゃんとテストしてる?
アホ過ぎて草も生えん。これがわーくにのガラパコス認証の実力やで/中間者攻撃がまず不可能で現状で最善のパスキーを選択肢としてすら出さない金融機関て、財産を守る気ないって事やろ。そんで補償もする気も無しと
イラストを選んでログインする方法、視覚障害でも大丈夫なのかな?
無限ループって怖くない?
メールの件名がスパムメールっぽくてスルーしてたけど、31日に本物だとわかって手続した。
さす楽。全く後先考えず見切り発車した挙句テストはユーザーに丸投げか。いやはやこれに付き合ってる楽天ユーザーは素晴らしいね。
どこのやつだったか忘れたけどメモを参照するためにアプリ切り替えると入力内容消えちゃうのあったな…
絶対やると思った。認証のリリースマジで怖い
2台必要?また、KOBO送るしかない🤔
楽天側のアナウンスからすると、アプリの新規インストールなら問題なく、アップデートで入れた場合だけおかしくなってる…のか?もしそうだとすると、QAで気付きにくいタイプのバグだとは思う。こわいっすね
全体では無く一部でトラブルと言うのがよくわからないな。多要素認証の有効期間がアプリだと極端に短いとかなのか?
私もログイン出来ない
メモリが少ないAndroidスマホ使うと2つアプリを開いた時に最初に開いた方が閉じられちゃうんだよね 手持ちのXiaomiのメモリ4GB機でこの挙動を確認した アプリ再インストールしてもログイン出来ない
「フィッシングサイト経由だと正しくログインできます!(ただし悪意のある人が)」ってアナウンスまだかな
「視覚障害でも大丈夫なのかな?」→最近、追加認証のメールに、絵に加えて「ウサギ」など内容を示す語句が入るようになったので、アクセシビリティ面での対処なのだろうと想像している。
入れ替わってる?
dアカウントでよくみるやつ
なんか、facebookのSSOでログインしようとしたらアプリに飛ばされて、アプリから確認をクリックしないといけないけど、クリックしようとすると認証画面閉じないといけなくて詰むやつ同じだな。
追加認証と追加保証金は似ているので、とりあえず名前を変えて欲しい。
アプリ切り替えるときに非アクティブにした方のアプリのメモリが解放されてセッションが切れて最初っからになる奴ね。あるある。糞だから二要素認証でメール送りつける仕組みはやめろ。分割画面で対処できるかも。
こうして何度も何度も雑に入力させられる事に慣れたやつを狙うフィッシングも出てくるだろうな。あーまたかー!っていちいち疑う気持ちを萎えさせるのである。
今日の昼12:30前あたりにアプリでこの認証やったけど、普通に入れたよ。
当たり前に Authenticator アプリに対応して欲しい。
ブラウザキャッシュかー?
楽天銀行なんて全ての入力をブラウザが覚えて、パスワード無しにあらゆる過去の入力が保管される糞仕様だからな。セキュリティがばがばすぎるけど金融業営んでいいんか・・・?
俺ちゃんとNISA出来てんの?
究極のセキュリティ対策は誰もログインさせないということ。護身完成というわけじゃよ
「メールの件名がスパムメールっぽくてスルーしてたけど、31日に本物だとわかって手続した。」←まさかメールから手続きしてないよね…?サイトから手続きするリテラシーあればメールの件名なんて関係ないし…心配だ
タスクキルが強いスマホだと認証出来ないやつ
phishing site側(userがpにaccessしてきたらuがpに入力した情報を、pの運用者(悪人)が使って本物のsにloginする)が, 自分aした本物のsで表示された候補の絵の組み合わせをpに表示する事で突破できるとブコメに書かれてたと思う
口座持ってるのが怖い。なぜ、よくある6桁コードの2段階認証いれないんだろう。ついでにソフトバンクも請求ページで毎回SMS認証がめんどくさい。日本の大手ITなのにこの辺りのUXに力を入れていないのが残念
TOTPやメール/SMS/電話による多要素認証にフィッシング耐性は無いので対策にならない https://images.app.goo.gl/8wzNT /(追記)なんか唐突に電話認証求められたり認証が通ったり通らなかったりでボロボロですな
日本のお金系アプリはバックグラウンドからの復帰を意図的に厳しくしているのおもしろい風習よ。そのアプリから外部サイトのマニュアルに飛んだのに戻ってくると手続き最初からやり直しなんてサハンジニチジョー
元が数百種類あっても表示されるのは8種類しかないからユーザーに入力してもらわなくても28分の1で正解できるよね。
楽天証券のメインのアプリは、生体認証通してればそのまま使えるので、そこはちゃんとしてる。某赤いメガバンク傘下の証券会社は、生体認証通した後に改めてメール送ってよこす上にそれが1分近く届かない残念仕様。
https://appflowy.com/0c7a2c8b-74d8-4949-a976-c5a2c65e9c4d/Does-%F0%9D%95%AE%F0%9D%96%94-648d16e7-1056-48f6-9225-33158bf0819e
アレだな、検証時には誰もアプリ切り替えせずに、PCとかからメール見てたから、見つからなかったダメパターンか
異変を感じたら引き返せば無限ループを終えられるのか?
https://writers.coverfly.com/projects/view/46d7ece2-d7bd-4d57-8e8e-4483e8ad28fd/How_to_speak_directly_on_Coinbase_Live_support
まあ急いで仕様変えたらこういうことは起きるよね
完璧なセキュリティだ
追加認証を「追証」に空目した。
これが日本のITだ
追加認証って おいしょー って読むのかな。
画面が消えたら再認証するようにわざわざ実装していたアプリは過去いくらかあった。いまさら出てくるとはね
何故頑なに他の証券会社などで採用している認証方式(FIDO認証とか)に対応しないのか? コストか?技術者不足か?
IdPとかに任せるようにすればいい気もする
セキュリティ強化って難しいんだね
Moneytreeとかがいちいちワンタイム要求するのが死ぬほどうざったい(楽天は良い感じに見逃してくれるが、大手証券がダメだ)
DLJディレクトSFG証券→楽天証券になった時に捨てて正解だった。(何年前の話だよ) ウルトラCで、自前の1Password的な「楽天パスワード」とか爆誕させたりして。(使いたくねー)
追証?って読んじゃった
何か他人事なんで面白いけど、無限ループが自分事になったらハンマーかドリルでPCをあやめたくなるなww
誰もログインできなければ不正利用できずに安心安全だな
普通にTOTP方式かパスキー認証でいいのに何でこんな奇をてらった方式にしているのかが理解できない。
システムトラブルになったらログインできないから安心だね!(白目
無限ループってこわくね?
うーむ
“しかし利用者の投稿を見ると、スマホ上でアプリを切り替えた際に再度、図柄の候補が読み込まれている模様。メールを確認するためにはアプリを切り替えなければならないが、戻ってくるとワンタイムパスワードが変わ
楽天証券、追加認証の必須化で一部にトラブルか 「無限ループ」「ログインできん」
『メールを確認するためにはアプリを切り替えなければならないが、戻ってくるとワンタイムパスワードが変わっている(異なる候補が表示されている)状況とみられる』事実なら間抜けである。
独自方式なんか作らず、一般的に使われている手法を使えばこんな事にならずに、と思う一方、TOTP だとフィッシング対策としては限界があるからなぁ。パスキーが分かりやすく使い勝手が良ければなぁ。
iGROWが作りが悪くてiSpeedは問題なく認証できている。多分スマホの生体認証を使う場合は即時ロックなのでそのあたりがアンマッチだと思う。テスト環境は生体認証ロック使ってないと思われ
楽天トラベルでも以前酷い不具合あったな。ちゃんとテストしてる?
アホ過ぎて草も生えん。これがわーくにのガラパコス認証の実力やで/中間者攻撃がまず不可能で現状で最善のパスキーを選択肢としてすら出さない金融機関て、財産を守る気ないって事やろ。そんで補償もする気も無しと
イラストを選んでログインする方法、視覚障害でも大丈夫なのかな?
無限ループって怖くない?
メールの件名がスパムメールっぽくてスルーしてたけど、31日に本物だとわかって手続した。
さす楽。全く後先考えず見切り発車した挙句テストはユーザーに丸投げか。いやはやこれに付き合ってる楽天ユーザーは素晴らしいね。
どこのやつだったか忘れたけどメモを参照するためにアプリ切り替えると入力内容消えちゃうのあったな…
絶対やると思った。認証のリリースマジで怖い
2台必要?また、KOBO送るしかない🤔
楽天側のアナウンスからすると、アプリの新規インストールなら問題なく、アップデートで入れた場合だけおかしくなってる…のか?もしそうだとすると、QAで気付きにくいタイプのバグだとは思う。こわいっすね
全体では無く一部でトラブルと言うのがよくわからないな。多要素認証の有効期間がアプリだと極端に短いとかなのか?
私もログイン出来ない
メモリが少ないAndroidスマホ使うと2つアプリを開いた時に最初に開いた方が閉じられちゃうんだよね 手持ちのXiaomiのメモリ4GB機でこの挙動を確認した アプリ再インストールしてもログイン出来ない
「フィッシングサイト経由だと正しくログインできます!(ただし悪意のある人が)」ってアナウンスまだかな
「視覚障害でも大丈夫なのかな?」→最近、追加認証のメールに、絵に加えて「ウサギ」など内容を示す語句が入るようになったので、アクセシビリティ面での対処なのだろうと想像している。
入れ替わってる?
dアカウントでよくみるやつ
なんか、facebookのSSOでログインしようとしたらアプリに飛ばされて、アプリから確認をクリックしないといけないけど、クリックしようとすると認証画面閉じないといけなくて詰むやつ同じだな。
追加認証と追加保証金は似ているので、とりあえず名前を変えて欲しい。
アプリ切り替えるときに非アクティブにした方のアプリのメモリが解放されてセッションが切れて最初っからになる奴ね。あるある。糞だから二要素認証でメール送りつける仕組みはやめろ。分割画面で対処できるかも。
こうして何度も何度も雑に入力させられる事に慣れたやつを狙うフィッシングも出てくるだろうな。あーまたかー!っていちいち疑う気持ちを萎えさせるのである。
今日の昼12:30前あたりにアプリでこの認証やったけど、普通に入れたよ。
当たり前に Authenticator アプリに対応して欲しい。
ブラウザキャッシュかー?
楽天銀行なんて全ての入力をブラウザが覚えて、パスワード無しにあらゆる過去の入力が保管される糞仕様だからな。セキュリティがばがばすぎるけど金融業営んでいいんか・・・?
俺ちゃんとNISA出来てんの?
究極のセキュリティ対策は誰もログインさせないということ。護身完成というわけじゃよ
「メールの件名がスパムメールっぽくてスルーしてたけど、31日に本物だとわかって手続した。」←まさかメールから手続きしてないよね…?サイトから手続きするリテラシーあればメールの件名なんて関係ないし…心配だ
タスクキルが強いスマホだと認証出来ないやつ
phishing site側(userがpにaccessしてきたらuがpに入力した情報を、pの運用者(悪人)が使って本物のsにloginする)が, 自分aした本物のsで表示された候補の絵の組み合わせをpに表示する事で突破できるとブコメに書かれてたと思う
口座持ってるのが怖い。なぜ、よくある6桁コードの2段階認証いれないんだろう。ついでにソフトバンクも請求ページで毎回SMS認証がめんどくさい。日本の大手ITなのにこの辺りのUXに力を入れていないのが残念
TOTPやメール/SMS/電話による多要素認証にフィッシング耐性は無いので対策にならない https://images.app.goo.gl/8wzNT /(追記)なんか唐突に電話認証求められたり認証が通ったり通らなかったりでボロボロですな
日本のお金系アプリはバックグラウンドからの復帰を意図的に厳しくしているのおもしろい風習よ。そのアプリから外部サイトのマニュアルに飛んだのに戻ってくると手続き最初からやり直しなんてサハンジニチジョー
元が数百種類あっても表示されるのは8種類しかないからユーザーに入力してもらわなくても28分の1で正解できるよね。
楽天証券のメインのアプリは、生体認証通してればそのまま使えるので、そこはちゃんとしてる。某赤いメガバンク傘下の証券会社は、生体認証通した後に改めてメール送ってよこす上にそれが1分近く届かない残念仕様。
https://appflowy.com/0c7a2c8b-74d8-4949-a976-c5a2c65e9c4d/Does-%F0%9D%95%AE%F0%9D%96%94-648d16e7-1056-48f6-9225-33158bf0819e
アレだな、検証時には誰もアプリ切り替えせずに、PCとかからメール見てたから、見つからなかったダメパターンか
異変を感じたら引き返せば無限ループを終えられるのか?
https://writers.coverfly.com/projects/view/46d7ece2-d7bd-4d57-8e8e-4483e8ad28fd/How_to_speak_directly_on_Coinbase_Live_support
まあ急いで仕様変えたらこういうことは起きるよね
完璧なセキュリティだ
追加認証を「追証」に空目した。
これが日本のITだ
追加認証って おいしょー って読むのかな。
画面が消えたら再認証するようにわざわざ実装していたアプリは過去いくらかあった。いまさら出てくるとはね
何故頑なに他の証券会社などで採用している認証方式(FIDO認証とか)に対応しないのか? コストか?技術者不足か?
IdPとかに任せるようにすればいい気もする
セキュリティ強化って難しいんだね
Moneytreeとかがいちいちワンタイム要求するのが死ぬほどうざったい(楽天は良い感じに見逃してくれるが、大手証券がダメだ)
DLJディレクトSFG証券→楽天証券になった時に捨てて正解だった。(何年前の話だよ) ウルトラCで、自前の1Password的な「楽天パスワード」とか爆誕させたりして。(使いたくねー)
追証?って読んじゃった
何か他人事なんで面白いけど、無限ループが自分事になったらハンマーかドリルでPCをあやめたくなるなww
誰もログインできなければ不正利用できずに安心安全だな
普通にTOTP方式かパスキー認証でいいのに何でこんな奇をてらった方式にしているのかが理解できない。
システムトラブルになったらログインできないから安心だね!(白目
無限ループってこわくね?
うーむ
“しかし利用者の投稿を見ると、スマホ上でアプリを切り替えた際に再度、図柄の候補が読み込まれている模様。メールを確認するためにはアプリを切り替えなければならないが、戻ってくるとワンタイムパスワードが変わ