滅びてほしい認証系の実装の話

こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。

[chck1245]

そのパスワードは以前に使用されていたため使用できません

[flirt774]

貼り付けられないパスワード入力欄、記号を含めるように指示があっても全ての記号を受け付けていないパスワード入力欄、実際には6文字までなのに表示側では一切記載がないパスワード入力欄

[omega314]

「パスキー最強！ ユーザーにとっても良いものだ！」的なのはIT屋の驕りではと疑っている。

[birds9328]

パスキー、分かりやすいとこだと登録機器が死んだら詰みなんだけど…誰もが同期されたデバイス複数持ってると無意識で前提しちゃうのはあぶない

[dorje2009]

タイムズカーシェアでIDがハイフンで区切られた2つの入力欄になっていてブラウザが覚えてくれないやつ

[Falky]

CVV入力は原則必要だろ。すべてのカードが3DSに対応してるわけじゃねえのよ。あと「PCIDSSの取得が必須になりコストアップ」はもう多重に誤りが含まれててここに指摘を書き切れないのでご自身で勉強を頼みます

[inabajunmr]

3dsも遷移後にフィッシングかわからんくていっつも微妙な気持ちになるのでいい感じにしてほしい

[n-styles]

秘密の質問の回答を忘れて電話サポートで聞く羽目になり「えっと…メモの準備はよろしいですか？出身小学校は、XZY454%6&D小学校ですね」的なことを言われた。多分お互い馬鹿じゃねえのと思ってた。

[Lian]

ローチケやLivePocketの国際SMS送信させるやつも滅びてほしいな

[damedom]

アカウント登録と実際のログインページのドメインが違う(パスワードマネージャーが使えないやつの亜種)

[yuuAn]

迷惑メール扱いされ届かない OTP

[kiichi69251]

まとめ方がいい、パスキーすごいね

[stamprally]

わかりみが深い。

[kkobayashi]

わかりすぎる

[iseebi]

1ヶ月以内のSMSによる再認証

[koinobori]

使っているサーバーとメールソフトの関係で、メール確認するのに3分くらいかかるのだが、こないだ確認コードの有効期限が1分間というサービスがあって詰んだ（ブラウザアクセスでなんとか確認した）

[JULY]

いやぁ、そりゃぁ、はてブのコメントでは書ききれないほど... パスキーに期待はあるけど、まだちょっと、って思う部分があるんだよなぁ。

[sds-page]

秘密の質問はセキュリティ意識高い所がいち早く導入してたイメージ。今となっては時代遅れ感が出てきたので高いセキュリティ意識を生かしてさっさと廃止してほしい

[hevohevo]

サイトごとにパスワードに使える記号が異なるくらいなら、一律記号不可にして欲しい。その代わり最低文字数を増やして。今なら最低でも12文字以上。

[higgsino]

えきねっとのパズルはスマホでやるとスクロールとピースのドラッグがかち合ってクソだったな。速攻アンイストールした

[Hasen]

IDに店番号と口座番号を分けて入力させる日興証券

[t-murachi]

PCIDSS取得必須って、まさか自前でカード番号保存してるわけじゃないよね? (ふつーは決済取引サービスが間に入ってそのサービスが払い出すユーザーIDみたいなので管理すると思うんだけど…)

[Fluss_kawa]

パスワードの自動生成しようとしたら使えない文字がとか言われるのでそろそろタグでパスワード生成ルールを記載してそれを読み取って自動生成する世界になってもいいと思ってる。

[cl-gaku]

秘密の質問、質問の内容まで覚えてないからいつもあほしねってなる

[masasia0807]

パスワード入力に手打ち強要してくるとこは、手書き履歴書とか好きそう。

[remonoil]

銀行とかのIDが複数フィールド（店番+口座番号 or 契約番号みたいな）になっているやつ。自動入力が正しく機能しない

[lovely]

業務で使っている某サービスだけパスワードマネージャ使えなくて超不便

[kagerouttepaso]

パスキー キー管理のプラットフォーム移行が現状不可能。キー管理をベンダーロックインに使いたい実装側の邪悪を感じる。

[hatest]

トップコメのホラーの理由がわからん。パスワード平文保存じゃないと過去分と照合できないと思ってるんだろうか？

[dowhile]

2020年以降になってもパスワード文字種や長さを短く制限するのはやめてほしい

[wktk_msum]

できるのかなぁ

[porquetevas]

SMS認証、海外で困ったのとスマホ本体が壊れて急いで代替機を買おうとした時にamazonにログインできなくて困った。壊れたスマホが5分ごとに10秒くらい通信可能になる瞬間を狙ってログインできたが

[tawashix]

ねんきんネットの秘密の質問、質問自体を選択肢から選ぶ必要があって詰みかけた。普通そっちから聞いてくるんじゃないのか？？

[sek_165]

タイムズカーシェアと三井住友銀行のIDが複数に分かれてるやつマジで面倒。Bitwardenだと自分で追加項目の設定しないといけない。Roboformだと勝手にやってくれたのでパスワードマネージャー側の仕様の問題でもある。

[k-holy]

とにかくパスキー対応しろとの圧を感じる…。"input typeがpasswordになっているOTP"なるほど…この辺はあまり意識してなかったかも。autocomplete属性、on/offだけじゃなくてcurrent-passwordとnew-passwordの使い分けも可能とのこと。

[auto_chan]

ID/PASSとCAPTCHAを同時入力させて、どっちが間違っていたかわからないやつ。

[arisane]

“input typeがpasswordになっているOTP（毎回記憶を促される）”これでパスワードマネージャーに記憶させてた情報を上書きしてしまって面倒なことになった

[kaionji]

CAPTCHAって途中で離脱してる人が多いのか

[mahal]

個人的に一番届かないOTPは3DセキュアのOTPなので、3Dセキュアに滅びてほしい的な気分になることは割とあり

[latteru]

「このブラウザでSMS認証しない」にチェック入れてんのに毎回SMS飛ばすんじゃねーよ面倒くせぇなぁ