2次パスワードの実装など

現在ワンタイムパスワードのハードウェアトークンが在庫切れ、次回入荷が不明と聞きます。

ソフトウェアトークンも一部端末では利用不可能とのこと。

不正アクセスが多い最近、
これじゃどうしようも無くなっている人もいると思います。

2次パスワード機能などのワンタイム導入出来るまでの代替セキュリティを作るべきでは？
※ワンタイム設定すればいらなくなるようなヤツ。

ドラクエ版しか在庫は無い様ですが、「スクウェア・エニックス　セキュリティトークン　ドラゴンクエストバージョン」っていうのは現時点で在庫はありますね。
ドラクエ図柄はイヤだと思っても、アカウントハックを防げるという意味でセキュリティ面で安全を確保する上で必要なら仕方ない様にも思えます。

私はiPhone４Sを使っているので、そちらを利用していますが、現状、まったく手段がないという訳ではないと思いますよ？

　スレ趣旨と違うけど何で廃止したん？

　
　で、マジメに趣旨に沿って話すとワンタイムパス使ってもアカハック被害＆サポート対応遅延＆手間が掛かりすぎなので、トークン在庫補充も大事だろうけど、不正アカハックの冤罪ログイン制限を被害者ユーザー本人で解除出来る様にして貰いたい、一つ二つのセルフセキュリティ手段が欲しいトコだ。

　
　乱暴な言い方をすればアカハックにあってもサポートが対応や補償を迅速に行えばそれ程問題は無いけどそこまで期待するのは無理っぽい、なら直接管理システムから「秘密の質問」の様に、自分でパスワード変更や登録情報の変更、アカウント削除の出来る様な仕様の変更が欲しいね。

　何時突然サービスから弾かれる泣き寝入りする身となるかと安全性の保証無いのはオンラインゲームの宿命なのかもしれないし、アカハックなんかするヤツが一番悪いのは確かだろうケド、サービス提供側がソレを放置するようじゃ利用料金のやり取りに困るし。

　PS:返信したいけど回数制限でもう書けないので、下で騒いでる人はコレでもを見て勝手に判断してくれ。
　　　↓
　ttp://subcultureblog.blog.fc2.com/blog-entry-5533.html
　ttp://ff14-14tuusin.blog.jp/archives/339690.html
　ttp://jugemmasukiti.seesaa.net/article/374868547.html?reload=2013-10-22T23:26:44

　大体ゲームやるのに絶対必要なら何故パッケージに同封しないのだ？まあワンタイムだのトークンだのサポート対応を信頼してると言うならもう何も言わないし、今後関わる気も無い、お好きな様に。

Quote:

---

Originally Posted by GGC_XIV

　スレ趣旨と違うけど何で廃止したん？

　
　で、マジメに趣旨に沿って話すとワンタイムパス使ってもアカハック被害＆サポート対応遅延＆手間が掛かりすぎなので、トークン在庫補充も大事だが不正アカハックの冤罪ログイン制限をユーザーで解除出来る様にして貰いたいモンだ。
<中略>
　何時突然サービスから弾かれるか、泣き寝入りする身となるかと、安全性の保証も無いのはオンラインゲームの宿命なのかもしれないし、アカハックなんかするヤツが一番悪いのは確かだろうケド、サービス提供側がソレを放置するようじゃ利用料金のやり取りに困るし。

---

アカハックの疑いからのログイン制限はワンタイムパス導入すればされなくなりますよ
セキュリティ面考えたら、ワンタイムパス導入は必須でしょうね！
だいたい折角ログイン制限してるのに、システムが本人確認をする前に解除できたら制限する意味ないじゃないですか?

アカハックにあっても保障さえせれれば問題ないとかおっしゃってますが、問題大ありですよ。
システムの穴からハックされたならともかく、大概ユーザーの脇が甘いからハックされるんですよ。
ハックされたアカウントは粘着TELやシャウトでのRMT宣伝に使われたりするんです。他のユーザーにとっても大きな迷惑です。
業者からしたらアカバンされても痛くも痒くも無いですからね！

オイラとしてはもっとより多くのユーザーがワンタイムパス導入しやすいように在庫の追加と啓蒙に務めて欲しいですね！

アカハックされない対策、それがワンタイムパスワードでは。
ハードトークンもDQラベルですが買えるので。
それを無視して対策対策と叫んでも・・・

トークン導入済みにも関わらずハックにあった人を知っています。
もう一段、何か欲しいところです。指定したドメイン、IPアドレスの範囲からしかログインできないようにするとか。

Quote:

---

Originally Posted by Ltz

トークン導入済みにも関わらずハックにあった人を知っています。
もう一段、何か欲しいところです。指定したドメイン、IPアドレスの範囲からしかログインできないようにするとか。

---

トークンを利用していてアカウントがハックされるって、どういった状況だったんでしょうか？
トークンそのものをアカウントの情報を知り得る人に取られたとかいった状況でもない限りありえない様に思えますし、もしそうなら、それは普通に窃盗と同じ様に思えたりもしますけど・・・

DQ10のものが残っているならなぜ誘導が無いのでしょうか？って話になります。

購入しようとしたら在庫切れになっているそうですし。

なんか運営もクチすっぱくして言っている割にはアカハック多い気がして・・・。

その人が悪いのは分かりますが・・・。




ちなみに自分はワンタイム利用はしてますから、単に導入していない方への危惧？なかんじで提唱しました。

Quote:

---

Originally Posted by yHayashi

トークンを利用していてアカウントがハックされるって、どういった状況だったんでしょうか？
トークンそのものをアカウントの情報を知り得る人に取られたとかいった状況でもない限りありえない様に思えますし、もしそうなら、それは普通に窃盗と同じ様に思えたりもしますけど・・・

---

本当に気になりますね！
そんな事がもし事実ならワンタイムパスそのものが崩壊していることになるんですから。

IDとパスが書かれたシールを貼り付けたトークンを誰かに拾われた・・・とか、トロイの木馬にスマホを乗っ取られたとか。
そもそもその友人はワンタイムパスを導入してなかったとか。
このくらいしか思いつかないっす。

ぜひ今後の為にも情報を上げて欲しいですね！

返信先を間違えました。
Ltzさんの発言に対しての返信になります

トークン導入済みでアカウントを乗っ取られたことが真実であるとしたら、これはかなり重大な問題になります。
比較的安価でユーザの負担が少なく（コストや手間について）導入できるものは、所謂ワンタイムパスワードが主流であるし、単なるパスワードのみに比べて安全度はかなり高くなると言われているものです。
（少なくとも、他社からアカウント情報が流出したとしても保護できる仕組みです）
この前提が覆されることになりますから・・・

完全に事実であるならば、キチンと状況などを説明したほうが良いと思います。
噂や憶測、思い込み、勘違いなどの可能性があるのであれば、
発言は慎重にしたほうが良いと思います。

話は変わりますが、ワンタイムパスワードの導入推進を考えるのであれば、
ワンタイムパスワードを導入した期間に応じて、利用期間の延長などがあると良いかもしれません。
ゲーム内アイテムなどの配布だと、いらない人もいるでしょうが、期間延長なら誰も不要とは
言わないのでは？
延長期間としては、セキュリティトークンの金額分くらいが妥当と思います。

　どこどこ鯖の誰々さんというのを本人の了承を得ずに書くわけにはいかないのですが、その人（とその友人）が受けた被害についてlodestoneの日記で公開されてますので、適当に検索すれば引っかかるかもしれません。
　僕が知っている限りですと
・トークン導入済み。
・トークンを盗まれたわけではない。
・スクエニアカウントに登録してあるメアドが変更され、パスワードも変更されログイン不能になった。
・言語設定がJからEに変えられていた。
・スクエニには連絡済みで、本人確認を経てアカウント復活した（ただしハック期間分のプレイ期間への補填なし）
・どうやって突破されたのかは分からない。

　と言ったところでしょうか。フィッシングに引っかかったのかもしれませんし、総当たり的に破られたのかもしれませんし、キーロガーなどに感染していたのかもしれませんし、セキュリティに穴があったのかもしれません。

lodestoneの日記だけで破られたと信じるのはどうかと。

Quote:

---

Originally Posted by Ltz

　
　と言ったところでしょうか。フィッシングに引っかかったのかもしれませんし、総当たり的に破られたのかもしれませんし、キーロガーなどに感染していたのかもしれませんし、セキュリティに穴があったのかもしれません。

---

この内容でワンタイムパスは基本的に破れないでしょう。
ありうるとしたら。ワンタイム入れてＬＯＧＩＮして、すぐＬＯＧＯＵＴして、
そのＬＯＧＩＮした数分以内に、他者がそのワンタイムパスを使う。
そんなことが可能か？、隣にでもいないと無理でしょう。

セキュリティトークン買ったので、あえて言わせてもらいます。
トークン無しでプレイ可能というのは、商業上の理由でセキュリティの甘いアカウントを売りまくってるとも言えますよね？
クライアントの代金に1500円上乗せしてトークン配布すればいいのではないですか。

有料のセキュリティトークンがあるのでそちらをお使いください、そうしないのならこれ以上は責任持ちません。そういう風に見えてしまいます。
二次パスワードとか、特定のハードウェア以外からの接続をはじく認証とか。トークン以外にも運営側から色々と手は尽くせるんじゃないでしょうか？
アカウントハックの被害にあったという嘆きに、真っ先に「トークン買っておかないのが悪い」という言葉が叩きつけられるのは異常な状況だと思いますよ。

Quote:

---

Originally Posted by FrayL

セキュリティトークン買ったので、あえて言わせてもらいます。
トークン無しでプレイ可能というのは、商業上の理由でセキュリティの甘いアカウントを売りまくってるとも言えますよね？
クライアントの代金に1500円上乗せしてトークン配布すればいいのではないですか。

有料のセキュリティトークンがあるのでそちらをお使いください、そうしないのならこれ以上は責任持ちません。そういう風に見えてしまいます。
二次パスワードとか、特定のハードウェア以外からの接続をはじく認証とか。トークン以外にも運営側から色々と手は尽くせるんじゃないでしょうか？
アカウントハックの被害にあったという嘆きに、真っ先に「トークン買っておかないのが悪い」という言葉が叩きつけられるのは異常な状況だと思いますよ。

---

ネットの銀行でも、暗証番号が基本ですがハックされ金額が無くなる事件があり、ハードトークンを進めています。
でも、暗証番号は、個人管理であると考えられています。

お聞きしますが、ネット銀行詐欺で銀行のセキュリティーが悪いと、銀行を訴えたことがあったのですか？

それと同じように聞こえますよ。

＞classさん
すみませんがどういう想定でしょうか？

パスワードの使い回しなど、個々のプレイヤーのセキュリティ意識の低さが悪いという主張でしたら、初期費用に1500円上乗せしてクーポン配布すべきだと思います。
そうではなく、プレイヤーに非が無くともハッキングなどで被害を受ける可能性があるのなら、運営にはセキュリティトークン以外の予防手段をこうじてほしいと思います。

銀行でも無料で配ったところもありました、有料のところもあるでしょう。
それを使うかどうかも利用者に一任しているのだと考えられないですか？
お試しでゲームしたい人も強制的に買わせるのですか？
問題を感じたら、なんでも、会社のせいですか？

お試しも何もクライアント代金に上乗せと言っているのですが・・・
「アプリ版が利用できる人にとっては無駄になりますよね」とかならわかるんですけど、ちょっとその発言は意図がよくわかりません。

アカウントハックが起こった場合、本人だけではなく直接・間接的に周囲も被害を受けます。加入はトークン購入者のみというFCもありますね。
オンラインゲームである以上被害者一人の問題ではないので、やはり運営にはできる限りの手は打ってほしいなと私は思いますよ。
「各プレイヤーが注意すればいい」「被害にあうのは注意が足りない」とか、そういう問題ではないのです。

Quote:

---

Originally Posted by Ltz

トークン導入済みにも関わらずハックにあった人を知っています。
もう一段、何か欲しいところです。指定したドメイン、IPアドレスの範囲からしかログインできないようにするとか。

---

セキュリティトークンを突破されたとなると、Vasco社の同様の製品を使っているサービスにも問題が生じているはずなので、かなりの規模の事件になると思います。
テレビのニュースとか、新聞で取り上げられるぐらいの。
何かの勘違いか、身近な人の犯行か、もしくはフィッシングサイトにアクセスして30秒以内のリアルタイムで攻撃を受けたんだと思いますよ。

アクセス可能なアドレス範囲やドメインを絞るのはいいかもしれませんね。
たしかwebmoneyのネットサービスでも同様の対策をしてます。
これも完璧ではないと思いますけど、多少面倒になっても複数の対策を積み重ねていくのはいいことですね。

仮定に仮定を重ねた水掛け論しても何の意味もありませんよー。

Quote:

---

Originally Posted by FrayL

お試しも何もクライアント代金に上乗せと言っているのですが・・・
「アプリ版が利用できる人にとっては無駄になりますよね」とかならわかるんですけど、ちょっとその発言は意図がよくわかりません。

アカウントハックが起こった場合、本人だけではなく直接・間接的に周囲も被害を受けます。加入はトークン購入者のみというFCもありますね。
オンラインゲームである以上被害者一人の問題ではないので、やはり運営にはできる限りの手は打ってほしいなと私は思いますよ。
「各プレイヤーが注意すればいい」「被害にあうのは注意が足りない」とか、そういう問題ではないのです。

---

横から失礼。
このゲームでは無料のソフトウェアトークンも適用されますので、利用者にハードとソフトのどちらを利用するのかの選択肢を与えてるのではないでしょうか?
ソフトウェアトークンなら追加費用無しで導入出来ますから気軽ですよね。
それにクライアントに上乗せと言いますが、ダウンロードで購入した利用者に対してハードトークンを配布するというのはどうなんでしょうか?
せっかくダウンロードで済み配送の手続きを省略しているのに実物を別途送付するのはコスト的にも頂けないでしょう。

以上の理由から利用者に別途購入を求めるのが妥当だとオイラは思います。

Quote:

---

Originally Posted by Ltz

と言ったところでしょうか。フィッシングに引っかかったのかもしれませんし、総当たり的に破られたのかもしれませんし、キーロガーなどに感染していたのかもしれませんし、セキュリティに穴があったのかもしれません。

---

フィッシングかもしれませんね。
ワンタイムパスワードも100％安全ではなく、フィッシングによる中間者攻撃という手段で突破された事があるそうです。
http://www.tdk.co.jp/techmag/knowled...04u/index2.htm
ワンタイムパスワードを入力する場合はアドレスバーの色等で正規のサイトであることを確認する事が大事です。
皆様お気をつけ下さい。

Quote:

---

Originally Posted by class

lodestoneの日記だけで破られたと信じるのはどうかと。

---

　いえ知ったのはlodestoneではありません。僕の知ってる人がそういう被害にあったという話をしたら詳細を求められたので、本人がその経緯をlodestoneにまとめてますよという話です。lodestoneで読んだだけみたいに言われるのは不本意です。
　また、その言い方だと、lodestoneでそういった話を書いてる人に失礼じゃないかな？と私は思いますが。

Quote:

---

Originally Posted by class

ありうるとしたら。ワンタイム入れてＬＯＧＩＮして、すぐＬＯＧＯＵＴして、
そのＬＯＧＩＮした数分以内に、他者がそのワンタイムパスを使う。
そんなことが可能か？、隣にでもいないと無理でしょう。

---

　一度ログインに使用したワンタイムパスはどんな短時間であっても再利用できないのでそれこそ無理ですよ（FF11時代にトークン1つに2アカウントひも付けしてたので経験済み）。そのパスの有効時間が切れた後なら話は別ですが。

　この内容では破れない～と仰いますが、フィッシングに引っかかった時点で管理システムにログイン→アカウント情報変更（メアド＆パスワード変更、トークン無効化）までできるでしょうし、ID/PWを抜きに考えれば総当りでも約100万分の1で突破は可能です。
　可能性だけ考えればID/PW/ワンタイムパスのシリアルが流出していて、ソフトウェアトークンが解析されてて……なんてトンデモ事案の可能性もゼロとは言い切れません。

　と言うか先のpostに書きましたが結局「どうやって突破されたのかは分からない」んですよ。ただ実際にあった事例として、トークン導入してたけど破られた人が複数いるというだけで。
　で、トークンは絶対ではないと仮定した場合、じゃあどうすればいいのかという一案としてアクセス元を絞るというのはどうかなと言いたかっただけなんですが、まるで僕が嘘でも言ってるかのように突っかかられて正直戸惑っております。

Quote:

---

Originally Posted by horizon

仮定に仮定を重ねた水掛け論しても何の意味もありませんよー。

---

　僕もそう思います……。

Quote:

---

Originally Posted by Ltz

　この内容では破れない～と仰いますが、フィッシングに引っかかった時点で管理システムにログイン→アカウント情報変更（メアド＆パスワード変更、トークン無効化）までできるでしょうし、ID/PWを抜きに考えれば総当りでも約100万分の1で突破は可能です。
　可能性だけ考えればID/PW/ワンタイムパスのシリアルが流出していて、ソフトウェアトークンが解析されてて……なんてトンデモ事案の可能性もゼロとは言い切れません。

---

トンデモ自体想定しなくても、
運営が警笛鳴らしてた時期にあった偽装サイトで入力しちゃえば盗られた可能性はありますね。

あの時期はとくにスクエニ語りメールが多かったし。

Quote:

---

Originally Posted by Ltz

　と言うか先のpostに書きましたが結局「どうやって突破されたのかは分からない」んですよ。ただ実際にあった事例として、トークン導入してたけど破られた人が複数いるというだけで。
　で、トークンは絶対ではないと仮定した場合、じゃあどうすればいいのかという一案としてアクセス元を絞るというのはどうかなと言いたかっただけなんですが、まるで僕が嘘でも言ってるかのように突っかかられて正直戸惑っております。

---

セキュリティトークンは絶対ではない、という意見はそれはそれでいいと思います。

ただ現時点でプレイヤー側がセキュリティを確保する方法がこれ以外存在しない以上、しっかりと裏が取れている情報や具体的な経緯が出ない限り、結果的としては不安をあおるだけになってしまうのも事実なんです。

方法として考えられるのは詐欺サイトへ誘導してそこでID、パスワード、トークンをいったん入手して有効時間内に再利用する方法でしょうね。

アクセス元の制限はプロバイダーから振りだされるIPアドレスが変わることを考えると、安全性よりふだんのログインに大きな支障をきたしてしまうので現実的ではありません。

まぁよく「フレが」という出だしで始まる様な他人の出来事の投稿などありますが、基本的に本人が書くべきと思います。
特にこういう影響範囲の大きい注目される話題ならば、結局詳細分らず細かく説明出来ないなら、全部憶測になっていって皆最後にもやもやしちゃいますからね:)

あとパッケージにトークン付ける付けないはメーカーが決めることではありますが、セキュリティトークンはFF14専用のものではなくスクウェアエニックスアカウント保護のものです。
強制でパッケージ同梱だと、既に別製品で使っている利用者の人も強制的に買わされるというケースもありえます。
同梱版というならCE版買えば付いてきますし、余計なアイテムいらない人は別売りで買える今の形が一番いい販売方法だと思いますね。

だから在庫切れや売り切れちゃだめでしょ:p
と言いたい。それは完全にメーカーの失態

Quote:

---

Originally Posted by JackRion

横から失礼。
このゲームでは無料のソフトウェアトークンも適用されますので、利用者にハードとソフトのどちらを利用するのかの選択肢を与えてるのではないでしょうか?
ソフトウェアトークンなら追加費用無しで導入出来ますから気軽ですよね。
それにクライアントに上乗せと言いますが、ダウンロードで購入した利用者に対してハードトークンを配布するというのはどうなんでしょうか?

---

ええ、ソフトウェアトークンを選ぶという選択肢のために、クライアントにハードウェアトークンの費用を含まないようにすべきというのはわかります。
ですがそのおかげでソフトウェアトークンもハードウェアトークンも適用されてない、宙ぶらりんな状態でセキュリティが弱いアカウントが発生しているのが問題ではないかと思うんです。
いづれかのトークンを適用するまでプレイできないようにするってわけにはいかないのかな？
それが無理なら、トークン未適用のアカウントでもそれなりのセキュリティ対策を取れるようにすべきだと思うんですけどね。

Quote:

---

Originally Posted by HideHide

あとパッケージにトークン付ける付けないはメーカーが決めることではありますが、セキュリティトークンはFF14専用のものではなくスクウェアエニックスアカウント保護のものです。
強制でパッケージ同梱だと、既に別製品で使っている利用者の人も強制的に買わされるというケースもありえます。
同梱版というならCE版買えば付いてきますし、余計なアイテムいらない人は別売りで買える今の形が一番いい販売方法だと思いますね。

---

こちらは完全に考慮の範囲外でした。そうかー、アカウントそのものに付くからだぶってしまうか。
トークンダブりの問題まで考えると、
１　購入時ではなく初回プレイ時にトークン適用させる、トークン登録しないとプレイできない
２　上記の対策を採らないなら、トークン未適用のアカウントのセキュリティを強化する
のどっちかがいいかなと思います。

そもそもFF外での知り合いに、「お前がFFでアカウントハックされた話を持ち出したいから、お前ちょっとフォーラムに書き込んでくれよ」と言って関係を悪化させるのも嫌なので、僕が彼に聞いた話だけで勘弁して下さい……。

なんかもう一連の書き込み消した方がいいんですかね。そういう事例もあるからもう一段階あるとありがたいと思って引き合いに出したら、なんか不愉快にさせたようですし僕も不愉快ですし。

Quote:

---

Originally Posted by Ltz

そもそもFF外での知り合いに、「お前がFFでアカウントハックされた話を持ち出したいから、お前ちょっとフォーラムに書き込んでくれよ」と言って関係を悪化させるのも嫌なので、僕が彼に聞いた話だけで勘弁して下さい……。

なんかもう一連の書き込み消した方がいいんですかね。そういう事例もあるからもう一段階あるとありがたいと思って引き合いに出したら、なんか不愉快にさせたようですし僕も不愉快ですし。

---

とりあえず大手銀行も採用するワンタイムパスワードシステムで、
採用していながら盗られたという事実関係があやふやなままなのがダメなんじゃないかな？

アカウント注意偽装メールからくる偽装サイトでの入力での盗用コンボ
が最有力だと思われるし、
こちら側の落ち度と思われます。


ちなみにスクエニは被害こそなかったものの、ワンタイム絡みで不正アクセスを受け対処している事実はありますので、
スクエニ側での落ち度は少ないと思われます。
※スクエニサイト、過去情報探せばあらります。

http://support.jp.square-enix.com/ne...75e0e40725755b

2012年5月18日記事ですね。

フィッシングが一番可能性高いんだろうなーとは思ってるますし、仮にそうだとしたら彼の落ち度だと思います。
その上でフィッシングにかかったとしても大丈夫なように、ログイン可能なIPを範囲指定して絞るなり、サービス提供側から別のワンタイムパスがメールで送られてくるなり、何かもう一段階あればいいなぁと思ってるのです。

　余り時間も無いから手短に。

Quote:

---

Originally Posted by Ltz

トークン導入済みにも関わらずハックにあった人を知っています。
もう一段、何か欲しいところです。指定したドメイン、IPアドレスの範囲からしかログインできないようにするとか。

---

Quote:

---

Originally Posted by Ltz

そもそもFF外での知り合いに、「お前がFFでアカウントハックされた話を持ち出したいから、お前ちょっとフォーラムに書き込んでくれよ」と言って関係を悪化させるのも嫌なので、僕が彼に聞いた話だけで勘弁して下さい……。
なんかもう一連の書き込み消した方がいいんですかね。そういう事例もあるからもう一段階あるとありがたいと思って引き合いに出したら、なんか不愉快にさせたようですし僕も不愉快ですし。

---

　Ltz氏コメの前に、こっちで色々書き込んだせいで煽り喰らわせた形になった事はホント御免、悪かった。_(_　_)_

　自分のコメントに責を感じる事はない、知り合いが被害にあったのが事実なら煽りでも何でも無いし、むしろもっともらしく責める方が不愉快。
　確かにCE版買えと言われりゃソレまで、なら通常版にトークン同封で、既にトークン持ってる人はDL版購入にしてもいいんじゃ？現実に問題あるならメ－カーは改善を図るべきだろう？

Quote:

---

Originally Posted by Ltz

・スクエニには連絡済みで、本人確認を経てアカウント復活した（ただしハック期間分のプレイ期間への補填なし）

---

　これだけで問題だ、アカハックに気が付いたユーザーが２次パス等で自主的に被害を抑えたり回避する為の手段は必要だと思うけど？

Quote:

---

Originally Posted by Ltz

その上でフィッシングにかかったとしても大丈夫なように、

---

うーん（汗）

かかった場合のケアまでは誰も面倒見ないと思います。



カスペルスキーなどの月額料金で、
セキュリティを強固なモノにするしかないと思います。

※フィッシングサイトだったり、
いつもと違うサイトの場合ブロックする機能があるものが、無料セキュリティにはほとんど無いため。


IPアドレスとなると、
プロバイダーで固定サービスを受けるくらい？
スクエニ側ではIPアドレス違うと再確認するシステムがあるようですが、登録アドレス盗用されてたら意味がありませんし。

※ちなみに他社オンラインゲームでは、端末指定でガードするサービスがあります。
設定すると、他端末ではログイン出来ないほどです。

Quote:

---

Originally Posted by MisatoMisa

うーん（汗）
IPアドレスとなると、
プロバイダーで固定サービスを受けるくらい？
スクエニ側ではIPアドレス違うと再確認するシステムがあるようですが、登録アドレス盗用されてたら意味がありませんし。

---

単純にIPアドレスの指定でもいいですが、IPアドレスを範囲指定するたとか、アドレスから逆引きしたドメイン名に指定した文字列が含まれているとか（あるいは可能であればISP名を判別するとか）……やりようはあるかなぁ、と。別にIPでなくてもMACアドレス使う手もありますし。
　機器登録もいいですね。とにかく、何かもう一段階あればなぁと思っている次第です。

p.s.GGC_XIVさん、ありがとうございます。

Quote:

---

Originally Posted by Ltz

フィッシングが一番可能性高いんだろうなーとは思ってるますし、仮にそうだとしたら彼の落ち度だと思います。
その上でフィッシングにかかったとしても大丈夫なように、ログイン可能なIPを範囲指定して絞るなり、サービス提供側から別のワンタイムパスがメールで送られてくるなり、何かもう一段階あればいいなぁと思ってるのです。

---

メールでパスワードを送るのは結構危険なので、頻繁にやりとりするのであれば
避けたほうが賢明ですね
２次パスワードというのがあっても、パスワードが長くなったのと大差がないので
現行のパスワードを２倍の文字列にすれば同じ効果が得られます

最終的にはIDとパスワードを管理する側の問題だと言える部分が多々あるので
管理側できをつかうのが一番の近道です
管理がだらしないとどんな安全策をとっても無駄になりますので

どうも私と他の方で、考え方というか、視点というか。そのあたりが違う感じがしますね。
「個人がしっかりしていればアカウントハックは起こらないはずだ」「アカウントハックは起こるものだからもっとセキュリティを強化すべき」
前者は正論ですし、後者も正論だと思うのですが費用がかかる。つまりその分のしわ寄せが我々自身に来る。
どっちがいいとは一概に言えないですね。

ただ、アカウントハックの被害にあった人に対し「努力が足りなかった」で済ませてしまう風潮はあまり好ましいものとは思えません。
RMT業者も知恵を絞ってアカウントハックを試みているのですし、個人の問題に帰結させてしまうのは少々厳しすぎる態度かと。

通常、ID、パスワード、ワンタイムパスワードを使う形であれば、大抵の場合は問題は起こらないはずであるという意味で大手銀行でも採用されているんだと思います。

使っているにも関わらず、アカウントハックに及んでしまう場合は、フェイクの情報をフェイクと思わずに信じて情報を入力してしまうという事に問題がある訳で、個人として注意が足りなかったという事になってしまうのではないかと思います。

こういった場合、仮に第二第三のパスワード設定とかしても、やはり入力してしまうんじゃないかと思えますし、これらを実際に実装してセキュリティを行ったとしてもコストがかかる上にユーザー側の複数のパスワードをしっかり覚えるという意味もふくめて負担が増えてしまう様に思います。

結局の所、現状のシステムのままで個人での情報の管理の徹底と、怪しい、おかしいと思ったら無視してサポートに確認を取るといった対処をするのがベストではないでしょうか？

>>Ltzさん
私もその日記見たと思います。
衝撃的だったので覚えてます。

Quote:

---

Originally Posted by FrayL

「個人がしっかりしていればアカウントハックは起こらないはずだ」「アカウントハックは起こるものだからもっとセキュリティを強化すべき」
どっちがいいとは一概に言えないですね。

ただ、アカウントハックの被害にあった人に対し「努力が足りなかった」で済ませてしまう風潮はあまり好ましいものとは思えません。
RMT業者も知恵を絞ってアカウントハックを試みているのですし、個人の問題に帰結させてしまうのは少々厳しすぎる態度かと。

---

　その考えを支持、大体何処の掲示板でもこの手の被害者は『ワンタイムいれろよ』『引退オメ』『トークン位買え』と罵声を受ける。（落ち度があるなら自業自得だが。）
　トークン無し＝被害は当然とする傾向に加え、スクエニも規約上はこう定めてるし（以下引用）
　↓
　スクウェア・エニックス アカウント規約　第4章　お客様の責任
　
　第13条　アカウント情報等の管理責任
　
　1. お客様は、自己のID等を含むアカウント情報を他者に使用させず、他者と共有しないとともに、自己の過失の有無を問わず、それらの使用（自己が行なったか否かに関わらず）及び管理について一切の責任を負うものとします。当社はお客様のID等のアカウント情報の他者による不正使用等に対しお客様に一切責任を負いません。

　としているので、サポートやトークンを１００％アテには出来ない。
　アカハックの可能性が常にありセキュリティの強化がムリなら、後は自己防衛しか無く出来る事は小まめにパスワード変更か、トークン買ってアカハック確立を下げる程度じゃねぇ・・・アカハック被害者に出来る有効な”方法”の設置位、有料サービスならあってもいいんじゃないんかい？

興味があるのでコメント見ていましたが、スレ主さんの当初の話から脱線してそうな気がするので話を戻させてもらいます。

Quote:

---

現在ワンタイムパスワードのハードウェアトークンが在庫切れ、次回入荷が不明と聞きます。
ソフトウェアトークンも一部端末では利用不可能とのこと。
不正アクセスが多い最近、
これじゃどうしようも無くなっている人もいると思います。

---

スレ主さんは、ワンタイムパスワードが使えない間の「代替手段」を求めている認識です。
確かにプレイヤー個人が対策しようとしても、販売が滞っている状況が続くのはリスクだと思います。

ただ、

Quote:

---

2次パスワード機能などのワンタイム導入出来るまでの代替セキュリティを作るべきでは？
※ワンタイム設定すればいらなくなるようなヤツ。

---

現状のワンタイムパスの仕組み自体は、スクエア・エニックス社の認証機能であり、FF14固有の機能ではありません。
そのため、新しい仕組みを導入するのであれば、DQ10はじめ、その他のゲームでも影響受けますし、
それこそ費用、時間がかなりかかるので、結局は物理的なセキュリティトークンの増産を急ぐ方が早いです。

ワンタイムパスワードの信頼性に言及されている方がいますが、それはスクエニだけではなく
同方式を採用している各社(世界規模で)に問題のある事になりますので、おそらくワンタイムパスの問題ではなく、
他の皆さんがコメントしているように、キーロガーやフィッシングサイト経由での問題かと思われます。

仕事柄(IT)、セキュリティ対策は行っている方なのもあり、いまだかつでパスワードが漏れた事がないのですが、
やはり一般の方は「問題が発生してから対策する」という心構えのほうが問題なんじゃないかな…
荒れそうなので、この先は控えさせていただきます

横断歩道を左右確認せず走って渡ろうとして車に轢かれる。

悪いのは車です。でも痛いのはあなたです。そんな話ですね。