at posts/single.html

認証APIとフィッシング対策

はてな認証APIがでてきた時に、結城さんが一般ユーザにきちんと認識させないと、悪意のある第三者が一般ユーザのパスワードを奪うアプリを作ってしまう危険性を指摘されていた。 だからかどうかは分からないけど、idproxy.netはログイン時にモンスターの「絵」がでてくる仕組みになってる。

  • idproxy.net にユーザ登録する時に、お気に入りのモンスターの絵を選ぶ(たぶんたくさんの種類の絵を用意しているはず)。
  • idproxy.net にログインすると、登録時に選んだモンスターの絵が表示される。

ユーザが何のモンスターを選んだかはユーザとidproxyしか知らないので、偽サイトには正しいモンスターを表示できない…? でも、偽サイトが盗んだパスワードでidproxyにログインしたら、ユーザのモンスターが分かってしまう訳で、対策になっていないような気もする。 ちゃんと説明を読まないと、よく分からないや。

公式サイトのPhishing protectionから引用。

Phishing is a form of identity theft. It occurs when an evil site pretends to be a site that you trust (by copying its design) in order to steal your username and password. idproxy.net includes two features to help you avoid being taken in by phishing attempts.

ここで「Your monster」と「A safe landing page」が対策に挙げられてる。

関連する日記