このスレが立ち上がった時点から、現時点でも、e-STOREでは「スクウェア・エニックス セキュリティトークン ドラゴンクエストバージョン」が販売中みたいなんですが・・・Quote:
Originally Posted by Arms
2次パスワードの実装など
Printable View
-
11-02-2013, 02:59 AMyHayashi
-
11-02-2013, 07:45 AMChiluluセキュリテイ対策ってそもそもそういうもので、「100%安全」というセキュリティは存在しません。Quote:
Originally Posted by GGC_XIV
100%安全なのはネットに繋がない事ぐらいしかないです。
なので確率を下げる対策しかないんです。
100%ではない対策でも複数積み重ねていくことによって、「99.9999・・・%安全」を目指すというのがネットワークのセキュリティです。
だってどんなに長くてユニークで複雑なIDとパスワード、ワンタイムパスワードでも、
当てずっぽうで当たる可能性は完全にゼロではないですからね。
私はスクエニ側でセキュリティ強化するよりも、ユーザーのセキュリティ意識を高めることのほうが効果あると思います。
大体「ユーザーの手違い、勘違い」を狙った手口で情報が漏れてますからね。
例えば「セキュリティ対策まとめ」みたいなのを作って公式サイトに掲載して、
ただ「アカウントハックにご注意ください」だけじゃなくて、具体的な方法をわかりやすく教えていくのがお手軽で効果も高いと思いますね。 -
11-02-2013, 09:55 AMyHayashiご存知かもしれませんが、ネットワークアダプターによってはMACアドレス自体を任意に変更できるものもあります。Quote:
Originally Posted by Karins
一時期は特殊なネットワークアダプターでしたが、いまでは簡単に入手が可能になっています。
Chiluluさんも言われていますが、100%安全なセキュリティっていうのは存在しない訳で、現状、人が介入しない形でセキュリティを保つ事ができているのがサーバーと連動してユニークな動作をするセキュリティトークンになると思います。
これとて、使う人がフィッシング等で騙されて使ってしまうことで危険な状態にさらされてしまう事もあるわけで、なかなか難しいですね。 -
11-02-2013, 11:14 AMMisatoMisaUSB形式だと、パソコン自体のセキュリティ対策がきちんとなされてないと危険な気がします。Quote:
Originally Posted by Karins
そもそもこの話自体、各個人がセキュリティ対策や、アカウント管理出来てればいい話ですが(汗) -
11-02-2013, 11:30 AMyHayashiドングル式もMisatoMisaさんが言われている様にセキュリティ対策がしっかりなされていないと、勝手に認識して繋がっちゃいますから結構危険だと思います(^_^;Quote:
Originally Posted by MisatoMisa
そもそも、特許とか絡んでライセンス料も結構するので高額のソフトウエア位にしか利用されていなかったと思いますし(^_^;
実際問題、使う人がフィッシングとかに引っかからない様にアカウント管理できていれば、トークンだけで十分に効果がでるはずなんですよね(^_^; -
11-02-2013, 11:45 AMMisatoMisa
しかしながら
・ハードウェアトークン
在庫切れ、一部在庫はあるが誘導がない等
・ソフトウェアトークン
Android か iOS 端末じゃないと利用出来ない。
という問題があるし、
パスワードの変更のみでは限界はあると思います。
※12桁以上の英字数字の組み合わせでもひとまずなレベルですから。
なもんで、何かしら有効な手段の構築をしてほしい感じ。
ただ問題はPS3でも出来るモノというと2次パスワードくらいかなと。
端末固定は他社基本無料オンラインゲームが採用していた手段でしたし。 -
11-02-2013, 12:04 PMArms
PS3って、そもそもPlaystation.Network(以下PSN)の認証が前提じゃないんですかね?(当方PCなので不明)
PSNの認証だと、
・アカウント名/パスワードの組み合わせ
・本体の認証(内部で何しているか分かりませんが個体識別しているはず)
本他の認証がある時点で、外部からの接続できないような気がします。
スレで垢ハックと見る度に眺めているのですが、PS3ユーザでハックされた人っているんですかね。 -
11-02-2013, 12:12 PMMisatoMisaすいません、PS3側のアカウント管理はプレイしていないのでわかりません。Quote:
Originally Posted by Arms
ただスクエニアカウント管理には、ワンタイムパスワード設定出来るから、ワンタイム導入関連で一緒に考えた感じです。
というかPS3のみなら、大丈夫なんでしょうか? -
11-02-2013, 12:14 PMAnemone-aura
余談ですけどよく言われる「こまめなパスワード変更」はあまり有効な対策ではありません。
しょっちゅう変更するために覚えやすい形式のシンプルなパスワードにしてしまう傾向があるからです。
それよりも
・パスワードを長くする
・一般的な名称や数字だけなどのシンプルなパスワードにしない
・他のサービスで使っているパスワードを使いまわさない
特にこの「使いまわさない」はかなり重要です。
多くの人は覚えきれないからとパスワードを使いまわしてると思いますけど、他サービスで流出があった場合に一気にやられる可能性が大です。
以上余談でした -
11-02-2013, 12:54 PMhorizonすごくめんどくさい方法ですが、スクエニのIDとパスさえわかればPCからPC版のコンテンツを登録してPC版から接続してしまえばそれで済むと思います。Quote:
Originally Posted by Arms
そこまで金をかけるとは考えにくいのでまず大丈夫だとは思いますが。 -
11-02-2013, 01:28 PMGGC_XIVスマフォ何処か携帯すら持ち歩かない人間なんでソフトトークンは意味が無いからwQuote:
Originally Posted by MisatoMisa
色々叩いてる方が居るが、こちらも出来る自衛手段(IDパスは使いまわさない、パス再設定は10文字以上、知らない相手のメールは削除、セキュリティソフトによるPCチェック等・・)はしているが、それだって予防程度の効果しかなくある日突然『不正アクセス検出でログイン制限』、登録してある筈のメアドが登録されてませんと言われて管理システムもフォーラムもアクセス出来ずパスワード再設定も出来ないという被害を受ける、だからスレ主の言う2次パスの代替手段等の”対アカハック用、被害者に出来る対処手段”が欲しいと言ってんだけどな?
ま、取り合えず12桁以上の英字数字の組み合わせでまた再設定し直して見ますわ。 -
11-02-2013, 02:26 PMCorin
私のLtzさんへの返信の後から、Ltzさんがちょっと責められているような感じにもとれるような流れになってしまったのは、不本意でした。個人的に反感を持っているわけではないことをお伝えしておきます。
ただ、
不確かな情報で、ワンタイムパスワードはあまり効果が無いというような風評が無知な人に広がり、
だから、ワンタイムパスワードを使わない、というように思う人が増えるのは良くないと思って発言しました。
現状では、コストに対して、ワンタイムパスワードはかなり効果が高いということには、誰も反対しないと思います。
少し厳しい対策ではあるとは思いますが、
全員にワンタイムパスワード登録を必須にすることが一番効果があると思います。
パスワードをあまり重要に考えていない人に対して、- 他サイトと別のアカウント、パスワードにする
- ワンタイムパスワードを利用する
- できるだけ長い&複雑なパスワードにする
実際には、対応しない場合が多いのでは?
ワンタイムパスワードを必須にする場合、ユーザにコスト(ハードウェアトークン購入)がかかってくるので、
それは、スクエニ側で利用期間の延長などで還元するようにすれば、
そんなにユーザから不満は出ないと思います。
ソフトウェアトークンを使っている人には、還元は無くても良いと思います。
スクエニにとっても、セキュリティ対策にかかる人件費などと勘案すれば、悪くない選択だと思います。
後は、ユーザがどれくらい文句を言い出すかでしょうか・・・
ハードウェアトークンを売り切れのままにしているのであれば、スクエニの落ち度ですので、
対応を早急にすべきと思います。
変にデザインとか指定するから在庫切れになるのでは? -
11-02-2013, 03:24 PMFrayL
セキュリティトークン、ドラクエモデルなら品切れしてないという話がありましたけど。
スクウェア・エニックスアカウント管理システムにログインしてセキュリティトークン購入しようとしても、そういう表示はどこにも無い、ですよね?
裏メニュー?一見さんお断り?
それと、購入画面にあるワンタイムパスワード、各種トークンについてのリンクをクリックすると説明ページに飛ぶんですが。
980円で販売しております → (ページ最下部に小さく)1150円に変更しました
なんでわざわざ旧価格を残して別の場所に小さく表示するのか。
というかそもそもスクエニアカウント管理の購入画面にお値段非表示なこと自体おかしいのでは? 「Crystaが足りません」っていくら足りないか教えてよ!という。
と、いい機会なのでセキュリティトークン購入時の不満点をぶちまけてみました。
買わせる気が無いんなら買わなくても安心できるようなセキュリティ機構をお願いしたいですねー -
11-02-2013, 03:31 PMMisatoMisa
パスワードに関して面白そうな
?記事見つけました。
25万年破られない?安全なパスワードを作る簡単テク3つ
http://woman.excite.co.jp/News/colum...ris_21199.html -
11-02-2013, 05:58 PMwai
CE版についてたから、ようやくだけどワンタイムパス使い始めたけど…
従来のパスも入れなきゃいかんってのは、なんでなんだね…?
めんどくさー -
11-02-2013, 06:47 PMGGC_XIVリンク死んでるけどタイトルで検索できました、d(≧▽≦)グッ!!な情報どうもー。Quote:
Originally Posted by MisatoMisa
顔文字パスはおもいつかなんだ、今度再設定する時やってみよう。 -
11-03-2013, 07:05 AMChiluluそれはつまり「アカウント強制停止コード」みたいな、緊急用に使うものが欲しいっていうことかな。Quote:
Originally Posted by GGC_XIV
そういうのはユーザーがスクエニに対してある程度の個人情報を晒して、本人確認ができるようにしないといけませんね。
本人以外が停止コードを使ったり、停止解除できちゃったりしたら無意味ですから。
現在でもパスワードを忘れて、メールアドレスも無効になってしまったら、
身分が証明できる文章を郵送してアカウント情報と照合してもらうことで、メールとパスワードが再設定できます。
そういったシステムに即時性を持たせれば実現できるかもしれませんね。
問題は「どうやったら即時に本人確認できるか」ということですけど… -
11-04-2013, 12:25 AMgyudonsan最近では、検索エンジンやSNSの影響で、秘密の質問は逆にリスクを高める可能性がある、ということで廃止になっているのだと思います。Quote:
Originally Posted by GGC_XIV
(人によってはgoogleでひっかかったり、フェイスブック等に過去の履歴が書いてあったり・・また、他社のサービスで同様の質問をしていてそこから流出する、等)
二次パスワードは効果があるかもしれませんが、そもそもアカウントハックされたことに気づいた時点で、ほぼ間違いなくゲーム内のデータに致命的なダメージを受けていることがほとんどです。
(キャラクターデータの削除、全財産がなくなっている、装備もすっからかん、等。最悪、FCのバンクを荒らしてしまっていたり・・)
その場合、ゼロから心機一転頑張ろう!と思える人は少ないと思うので、結局は運営に身分証明等で本人確認を行い、データの巻き戻しをしてもらう羽目になると思いますし、
アカウントハックの原因がキーロガーやフィッシングサイトによるものだったりすると、パスワードを変更しても再度アカウントハックされてしまうことも多いです。(勿論、人によりますが。)
そういった意味で、ワンタイムパスワードは比較的効果的な対策だと思います。現状、トークンだとドラクエモデルになってしまいますが、機能としては違いはないようなので、
購入を検討してみてはいかがでしょうか。 -
11-04-2013, 01:12 AMGGC_XIV判りやすい説明をどうも^^ 本来の理由はともかくやっぱリスクの問題かねぇ?多少は納得。Quote:
Originally Posted by gyudonsan
結局アカハックされたら完全にアウト、補償も有効な対策無いというコトがわかりました。
正直このスレでコメントしながらスクエニのレスも対応も無いだろなとは思ってたけど、まあパスの自衛手段情報だけでも収穫あったし、結局自分で自己防衛するのが一番確実で誰も恨まなくて済む方法だなと。
トークンは買う気無いです、二ヶ月掛けて育てたキャラを不正アクセスログイン制限使用不能になって、イチからやり直してメインだけでも終わらせようという人間ですから、今の新生と迅速な対応とは真逆のサポートを其処までして続けたいとも思わないのでw -
11-04-2013, 02:40 AMMercre
多分誰か指摘済みだろうけど敢えて
何でOTPなのかと言えば、固定の(変更される機会が少ない)ID・PASSではないからで、当然の事ながら二次PASSも後者の範疇に入ることからあんまり意味無いよ?OTPの方が安全だよ?が全ての様な
二次PASS設定しているから安全とか思い違いされても問題だし
運営から見てみればID・PASSが正しければ本人と判断するしかないので、自衛も含めOTP推奨というか必須にして欲しいにゃにゃにゃ -
11-04-2013, 07:50 AMMisatoMisa
OTP推奨にするあまり、
11のようなおまけとかはつけないでほしいですけどね。
11ではワンタイム入れると、
拡張カバンみたいなの追加されましたが、
オマケだけ貰って解除→アカハックくらったって人もいますから。
運営が警笛鳴らしても無くならいアカハック、
自分らが悪いとはいえワンタイム使ってくださいだけでは弱い気もする。
※自分は他オンゲで騒動あったとき被害は全くなく、
詐欺メールも一切届いた事はありません。 -
11-04-2013, 09:05 AMMisatoMisa
というかOTP入れてくださいという割には、
次回入荷は12月見込みですってのが疑問。
AndroidかiOS端末あるなら、すぐにでもソフトウェア版入れられますが、それ以外は手段無し。
まぁ自衛しろレベルだけど、
それでもアカハック被害が多いのが現実。
もっとパスワードの管理に対してわかりやすくするべきだと思います。
2次パスワードは一時しのぎかもしれないけど、
無いよりマシだとは思います。
※25万年やぶられないやつの理屈で作れば2枚のシールド出来る感じだし。
他オンゲ採用(採用しているのは基本無料運営会社)してるパソコンガードも、指定パソコン以外からはログイン出来なくなるし。
※コストかかるだろうけど。 -
11-04-2013, 09:17 AMyHayashi
この問題、なんでe-STOREでドラクエ仕様のトークンが在庫ありなのに、在庫切れの話が出てくるのか判らなかったんだけど、なんのことはない、本来のセキュリティトークンの説明と販売の流れでは在庫切れの表示がされ、e-STOREでトークンの検索をすると、在庫アリでヒットするというスクエニ側のトークンへの対応に問題があるっていう事が原点にあるんですね。
しかも、在庫切れは購入前提で課金して購入手続きをしない限りわからないという二重のミスをしてる。
手続前に在庫切れである事が表示されているのかは、私は課金していないので確認できないんだけど、このスレを見るとできないみたいだ。
ぶっちゃけ、トークンの説明と販売のページに通常版、限定版等のトークンへのリンクがされていれば済む訳で、これはスクエニ側のミスになるんだろうなぁって思います。
早急に対処しないと、スクエニ側の対応のせいで購入したいのに購入できなかった人でアカウントハックにあってしまったケースもでてきそうな気がする。
運営の人、見ていたら早急に対処してほしいな。 -
11-04-2013, 09:32 AMMisatoMisaツィッターの呟きで、Quote:
Originally Posted by yHayashi
980円だと思ったら、足りなかった。
※値上げした事知らなかった。
↓
追加課金したら今度は在庫切れ
というのを数名みかけました。 -
11-04-2013, 10:07 AMNonohana現状をあまり確認しないでただ提唱すると場を荒らしたいだけのように見えてしまうのでそこは注意ですね。Quote:
Originally Posted by MisatoMisa
(これは自戒でもあります)
まずは個人でパスワード管理を徹底しましょう。
ワンタイムパスワードが利用できなくてもハックされ辛くなります。
オススメのパスワードの決め方をご紹介します。
まず、パスワードですが
・10文字以上、3種類以上の文字を混ざったものをつかう、もしくは20文字以上の長いパスワードを使う
(短くて複雑なパスはPCには破りやすく人には覚えにくい、通常の英単語で冗長に作ったパスワードは人には覚えやすくPCには破られにくい→http://xkcd.com/936/)
・パスワードはユニークなものを使用する
・極力安全な環境から以外ゲーム等を登録しているメールにアクセスしない
(最近はスマホがあるのでこの条件はクリアしやすいです)
昨今の事情としてはパスワードの強固さは「複雑度」より「長さ」です。
文字の種類より長さの方が単純にハックにかかる時間を増やせますからね。
ユニークなパスワードの作り方にはコツがあります。
1.10文字強の長さの自分なりに覚えやすいパスワードを作ります。
例:!X4NonohanaTanpopo4X!
※長ければ長いほど良いのですが、パスワードの最大長が短いWEB-SITEもまだまだあるので注意です。
※この段階でアルファベットの大文字小文字、数字、記号が混ざっているとベターです!単語ペアリングによるパス検索にも強くなります。
※単語繋げる場合は4単語等、単語数は多い方がいいです、ちょっとNonohanaTanpopoはあんまりよくないかも?でも日本語だからマシかな・・・
※後はどこかのゲーム会社の人がパスワードを強固にするために記号等(上の場合!X4~4X!)を利用して修飾するのも覚えやすくて良いといってましたね。
2.ゲームタイトル毎に何かユニークなフレーズを考えて前後にくっつけます
例1:ドラクエ10 DQ10 -> !X4NonohanaTanpopo4X!DQ10
例2:FF14ARR FF14 -> !X4NonohanaTanpopo4X!FF14
※上記は簡単な例ですが、自分なりにタイトル毎の省略方法を決めておくといいです。直接パスを覚えてなくてもタイトル又は関連情報を見れば判るルールが楽です。
こうやっておくことで覚えやすさを確保できますし、かつハッカーが仮に他ゲームをハックしたとしてもデータベースによるID/PASS総マッチング時には難を逃れることができます。
ワンタイムパスワード使用未使用に関わらず強固なパスワードの利用癖をつけておくことが大事です。
また、メールのパスワードだけは極力違うパスフレーズにしましょう。似たようなパスワードだと人力で破られちゃうとも限りません。
メールアドレスのパスワードがハッカーに割れてる人は、企業側で用意している対策(ex.IPがいつもと違う場合にログインを制限する機能等)なんかもすぐ抜けてしまいます。
ワンタイムパスワードはこれら全てをカバーしてくれるものですが、タイトル毎に専用の機能ですし、個人によるセキュリティーの一環として、パスワード管理を徹底しておくとよいと思います。 -
11-04-2013, 10:52 AMyHayashiスクエニのOTPに関しては、タイトル毎ではなくすべて共通になるのでは?Quote:
Originally Posted by Nonohana
どのデザインのトークンでも使えますし。 -
11-04-2013, 01:33 PMNonohanaスクエニに限定すればそうですね。Quote:
Originally Posted by yHayashi
というかスクエニに限定するとタイトル毎にそもそもパスワードがもてません。
例えば自分のメールアドレスや、他のゲームをプレイしている時の個別のタイトルの話です、ちょいややこしかったですね、アカウント毎ってかいておいたほうがよかったかな。 -
11-04-2013, 01:53 PMMisatoMisa
結局のところはパスワードの管理を徹底して、
公式サイトやランチャー等で見やすくこれでもかというくらい強調すればいい感じなんですかね。
ただやはりワンタイムパスワードを導入してくださいというわりには、
あと1ヶ月もそれを導入出来ない人がいるのはおかしいのではないかと。
※まぁ2次パスワードなども数日で導入出来るもんじゃないけど。 -
11-04-2013, 03:08 PMmimora
簡単に言うなよ(;゜ロ゜)! と言われそうですが、
Googleの二段階認証みたいに、携帯にSMSや音声でワンタイムパスを送るような仕掛けがあれば良いんですけどね~^^;
https://support.google.com/accounts/answer/180744?hl=ja -
11-04-2013, 04:42 PMyHayashi
別のスレでサポートの方が紹介されていたリンクですが、この記事は既に公式サイトのTOP画面には表示されていません。
本来ならば、こういった重要な記事は常にTOPページに記載されていなければいけないものだと考えます。
現在も他のスレにはアカウントハックにあわれた方の問い合わせ記事をみかけますが、アカウントハックはユーザーの責任といっている割に、アカウントハックに合わないために対策できる事が一目見てわかる場所に常に掲載されていないというのも問題かと思います。
この記事では、トークンの販売は停止しているけれど、ドラクエ版のトークンは販売していて、通常のものとの違いについての記載もあります。
こういった事もあるのだから、常に見える場所に掲載するかトークンのページの記載を変更して、通常版とドラクエ版の様な特別版の記載やリンク、違いについての紹介等を書くべきだと思うのだけどなぁ。
これだけでも、大分違ってくると思うのだけど。
http://jp.finalfantasyxiv.com/lodest...44e7aed89709dc -
11-08-2013, 06:34 PMGGC_XIV
http://forum.square-enix.com/ffxiv/t...品を自動購入する現象が発生;
あえて便乗するが、これでもトークン、ワンパス推奨できる?今更サポートやセキュリティに言う事無いが、自己対策手段も無くこの状態でサービス継続するのは不安と不信感が激増しそうだ。 -
11-08-2013, 06:44 PMMisatoMisa吉田Pさんのポスト見る限り、トークンに何かあったわけじゃないみたいですね。Quote:
Originally Posted by GGC_XIV
-
11-08-2013, 07:16 PMMercre電文操作でトークン等は関係無いですなQuote:
Originally Posted by GGC_XIV
OTP推奨というか必須なのは変わりなし
この手のバグが今迄見つかっていなかった事はアレですが
テストはシッカリやっときましょうね -
11-09-2013, 01:56 AMGGC_XIVトークンに問題は無かったという貴方とスレ主の主張は正しいかもしれん、俺としては『OTPに問題は無かった、だがこうした事件が起きた。』 一度あることは二度ある、一度の成功は必ず模倣犯を生み出す、それはOTP使用してもユーザーには防げない、まあそう言いたかったんだが、言葉が悪かったな。Quote:
Originally Posted by Mercre
信頼しているモノにケチをつけた事が不愉快なら詫びる、だが個人的にワンタイムに依存する気にはなれない、まあそれだけの話。
銀行のATMで使用されてる指紋認証システムとか使えないものかな・・・とか思いつきで言ってみたり。(実装するとしたら相当金掛かるだろうしね;;;) -
11-09-2013, 07:27 AMMisatoMisaなんにしてもアカウント管理は、うちら自身がきちんとやらなきゃならないし、Quote:
Originally Posted by GGC_XIV
企業側に多くを求めてもどうしようもないのでは?
ワンタイムは現状安価で導入出来る最善のモノだし。
とりあえずは運営も画像認証入れたみたいですし。
アカウントのパスワードのみならず、登録アドレスも気をつけなきゃだし、
プレイしている端末のセキュリティ対策もしっかりとしてれば……。
それに昨日の騒動はアカウントではなく別な方向からだから、
別な問題だと思います。
※色んなオンラインゲーム経験者でも初遭遇事件でしょう。 -
11-09-2013, 02:58 PMTomonan今回の騒動は、公開された情報やいろんな方の意見を見るにQuote:
Originally Posted by GGC_XIV
いうなれば「開けた金庫に横から無理やり手を突っ込まれてごちゃごちゃされた」
のように見えます。
なので、どんなにセキュリティの高い世界最高の強度を誇るシステムを使ったとしても
防げる問題ではないと思います。
(つまり、おっしゃっている指紋認証も対策としては(言い方は悪くなってしまいますが)的外れになります。)
OTPはあくまで金庫にかける鍵であり、それが破られたわけではないので
OTPの優位性を崩す論拠にはなりえません。
なので、相変わらずOTPは使用するべきだとおもいます。