ワンタイムパスワードを一般的な TOTP 標準に準拠したものに対応してほしい

他の方も仰ってますが、アプリでのワンタイムパスワードではなく、キーホルダータイプのトークン使えばAndroidのクライアントが不安定などの心配も無くなります。

そこまでソフトウェアトークン使う理由は分かりかねますが、すぐに解決できない技術的問題を述べるよりもずっと簡単だと思います。

グーグルやＭＳが採用しているから「安全」とは限らないし、むしろソフトウェアなんて、脆弱性を年がら年中パッチ充てて塞ぎ続けているわけで。
（昔から「WindowsとそのＩＥは最も当たり前に利用されているぶん、悪意を持った相手に最も狙われやすい」とも言われてますね）

また、オープンソース系のものは、初めから自由な研究・改造が前提ですから、私的には初めから安全性に疑問符が付きまといます。
アレにもコレにも使えるという利便性は高いのでしょうが、天秤にかけたらどうなんでしょうかね。
（ハードウェア・トークンと比較すれば、旧来のＯＴＰもＴＯTＰも同じようなもんじゃん、という話ですが）

この件に関してなら、
「業務連絡は業務用専用回線でのメール限定です」vs「いや、不便だから一般回線でメール使わせて。できたらLINEがいいな」
というレベルでの話なんじゃないかな、という気がします。

アプリを自社サービス向けに開発してるという部分については、開発しきれないんなら共通のを使えば利用者も楽でしょという指摘は、合理的だと思いますよ。
(もちろんアプリ自体が単なるOEMかもしれませんので、その場合はこの批判は当たらないです)

ただ、逆にいうとわざわざ自社開発してるのだから、一応意味というか目的はあったはずで、他でもできたんだからやればできるでしょというのは単なる推測でしかなく、押し付けが強いかなと思います。

また、一旦リリースしているアカウント管理を切り替えるのにはそこそこコストもかかります。ここは私も推測ですが、他社さんでもアプリ開発やりきれなくなって、なにかを諦めて共通のも使えるようにしたのとは違いますかね。


あと程度問題なんですが、androidアプリが不安定な件は、ご自身の端末やandroid不具合、あるいは他のアプリとの干渉だったりしませんか？
私個人的にはソフトウェアで問題が起きたことがないし、周りでも聞かないので不安定という実感がないです。

だからハードウェアトークン使えばという、一般論でない、個別対処的なレスがついてしまうのではないかと。

純粋にアプリが不安定で使いづらいからなんとかしてほしいというフィードバックをたくさん集めた方が、お望みの方向に進むかもしれません。
もちろんハードウェアトークン必須という斜め上に進むかもしれませんが...

Quote:

---

Originally Posted by Heatmind

そこまでソフトウェアトークン使う理由は分かりかねますが、すぐに解決できない技術的問題を述べるよりもずっと簡単だと思います。

---

別に「吉田今すぐ何とかしろ明後日までにやっとけよ」じゃなくて、要望なので……。
あとハードウェアトークンは個人的にはナシかなあ。
物理的なものを追加で管理したくないですし、紛失・破損時にも手間ですし、
外出先・帰省時などにプレイしようとした時に忘れちゃうリスクもありますし。
普段から携帯しているスマートフォンでソフトウェア的にできたほうが利便性が高いのは明らかでしょう。

Quote:

---

Originally Posted by Dayone

グーグルやＭＳが採用しているから「安全」とは限らないし、むしろソフトウェアなんて、脆弱性を年がら年中パッチ充てて塞ぎ続けているわけで。
（昔から「WindowsとそのＩＥは最も当たり前に利用されているぶん、悪意を持った相手に最も狙われやすい」とも言われてますね）

---

あんまりこういうこと言いたかないですけど、一丁噛みするなら最低限「(RFC などの) オープン標準」と「オープンソースソフトウェア」の区別ぐらいつけてほしいなあ……。
OSS に対する認識にも言いたいところはありますけど、それ以前にちょっと論点ずれすぎでお話にならないです。

Quote:

---

Originally Posted by kuma-pandemo

あと程度問題なんですが、androidアプリが不安定な件は、ご自身の端末やandroid不具合、あるいは他のアプリとの干渉だったりしませんか？
(snip)
純粋にアプリが不安定で使いづらいからなんとかしてほしいというフィードバックをたくさん集めた方が、お望みの方向に進むかもしれません。

---

端末ごとの安定度の差はあるでしょうね。Android、端末ごとの差異が多くて開発かなり地獄ですし。
一応、似たような不満は Google Play のレビューにかなり寄せられていますね。
https://play.google.com/store/apps/d...re_token&hl=ja

Quote:

---

Originally Posted by Aryn_Ra

別に「吉田今すぐ何とかしろ明後日までにやっとけよ」じゃなくて、要望なので……。

---

要望だということはわかっているので「こういうやり方はどうでしょうか？」と言ったまでですが。

Quote:

---

Originally Posted by Aryn_Ra

あとハードウェアトークンは個人的にはナシかなあ。
物理的なものを追加で管理したくないですし、紛失・破損時にも手間ですし、
外出先・帰省時などにプレイしようとした時に忘れちゃうリスクもありますし。
普段から携帯しているスマートフォンでソフトウェア的にできたほうが利便性が高いのは明らかでしょう。

---

最初のコメントを読んで、「アプリが動作不安定でイライラする」と書いていたのでならばアプリを介さないハードウェアトークンを勧めたまでです。いつもプレイするのにイライラしていては、と思い案を上げたのですが、お節介になってしまったようですね。失礼しました。

Quote:

---

Originally Posted by Aryn_Ra

あんまりこういうこと言いたかないですけど、一丁噛みするなら最低限「(RFC などの) オープン標準」と「オープンソースソフトウェア」の区別ぐらいつけてほしいなあ……。
OSS に対する認識にも言いたいところはありますけど、それ以前にちょっと論点ずれすぎでお話にならないです。

---

一般人と技術者との違いをわざわざ皮肉って言う事はないと思います。
むしろ丁寧に教える事が、技術に明るい人の本来の姿じゃないでしょうか。

ちなみに、RFCだからと言って安全とも限りませんので、当然導入するには諸々検討事項があるでしょうし、運用の検討も必要でしょう。
それに同じ会社が複数の方法を持つのは管理的にも手間だし、トラブルの元なので、複数持つメリットがあまり無ければ導入は難しいでしょうね。

TOTPがインターネット標準だったら対応しない手は無いですけど。

スクエニが採用しているトークンが最初に実装されたのは、今からおよそ7年前の2009年4月7日です。
もちろんFFXIVなどまだなく、FFXI向けに実装されました。

スレ主さんがなにをもって標準だと言い切られているのかはわかりませんが、
現在スクエニが採用しているこのシステムは、運用開始してから既に7年以上経過しているのです。
バスコ社のシステムそのものは、もっと古く運用実績もあるでしょう。

もちろん実装当時は、スマホだとかAndroidだとかは、まだメジャーではありませんでした。
それを今更、極一部の人の都合のためにシステムを変更するのは、無理じゃないでしょうか。

スクエニ三大MMORPGの、FFXI、FFXIV、DQX、を始め、
スクエニアカウントと関連しているシステム全てに影響が出る問題です。

自分も実装開始時から使い続けていますので、
今更システム変更されたら、困惑すると思います。

わたしもGoogle Authenticator互換も使えるようになってくれると嬉しいなぁ。
あと、スマホなくしたときとかが怖いのでもう位置端末くらい登録できるようにもしたい。

スレ主さんの提案に強く賛同します。

Google 認証システムを含むTime-based One-time Password Algorithm (RFC 6238)に準拠したワンタイムパスワードには既に十分な実績があり、また同規格に準拠した実装を行っているアプリケーションを自由に選択出来る点も大きなメリットです。

TOTPに準拠したワンタイムパスワードと、スクウェア・エニックス ソフトウェアトークンまたはセキュリティトークン等、複数のトークンはそれらを管理する手間を生じさせ、最終的にはユーザのセキュリティを低下させるものです。

ワンタイムパスワードだけでなく、これらの基本的な仕組みは往々にしてプロプライエタリな実装よりもオープンな規格に準拠した実装の方がリスクを低減出来、また、古いプロプライエタリなシステムを使い続ける事が技術的負債となりリスクを増大させる事は歴史上枚挙に暇がありません。

ただし、既存のスクウェア・エニックス アカウントのワンタイムパスワードにはシリアル番号やスクウェア・エニックスID、強制解除パスワード等の複数の要素が絡み合った物であり、これらのシステムからTOTPへの移行、または追加は容易な物ではないと思われます。SEGAがPSO2においてSecureOTPからTOTPへ移行した事は私的には英断だと思いますが、その決断もまた同様に容易な物ではないと考えます。

予算さえ許すのであれば、理論上は追加しない理由は無いと思います。あくまで「追加」であって「移行」でない理由は、無視できない割合でスマートフォンを持っておらず、かつハードウェアトークンを使用している既存のユーザが存在すると予想されるからです。

Quote:

---

Originally Posted by Matthaus

もちろん実装当時は、スマホだとかAndroidだとかは、まだメジャーではありませんでした。
それを今更、極一部の人の都合のためにシステムを変更するのは、無理じゃないでしょうか。

---

既に極一部の人の都合ではなくなっています。スマートフォンはほぼコモディティ化しており、TOTPを採用したサービスは実績のあるものが沢山あります。「実装当時から使っている人」よりも「スマートフォンを持っている人」の方が今や「メジャー」です。移行または追加が容易ではないというのはご指摘の通りだと思いますが、難しいか、あるいは無理かは運営以外には分かりません。

Quote:

---

Originally Posted by Matthaus

スクエニ三大MMORPGの、FFXI、FFXIV、DQX、を始め、
スクエニアカウントと関連しているシステム全てに影響が出る問題です。

自分も実装開始時から使い続けていますので、
今更システム変更されたら、困惑すると思います。

---

既存のシステムに対する影響は、そのユーザ規模も含め大きく、慎重さが要求されるというのは事実だと思います。ですが「だから古いシステムを使い続ける」という選択もまたユーザを危険に晒すものです。強行的にでも移行した方が安全な場合もあれば、そうでない場合もあり、一概にどちらとは言えない問題です。