  |
はてなキーワード: SMSとは
若手社員の要望でクラウドストレージを導入。ノートPC持って社外で作業する人も多いから、便利になると思った。
40代以上からは「メールで十分」「ログインとかめんどくさい」と不評だったので、エクスプローラーから直接使えるように自作アプリまで作って、それぞれのPCでAWSにマウントできるようにした。
導入から1年。
仲のいいおじさん社員が、USBにデータを入れて、車で1時間かけて別部署へ持ってきた。僕の目の前で。にこにこで。
もちろん悪気はない。むしろ「えらいだろ?」くらいの顔だった。
はあ。転職しようかな。
機械・車両管理(どこに何があるかダッシュボード表示、移動したらLINEやSMSで通知)
使ってるのはC++とかRailsとかPythonとかMySQLとか。インフラはAWS中心で、herokuで実験。LINE APIとかNTTのCPaaSも叩いてる。
一人で社内システムを頑張ってたつもりだったけど
USBで運ぶおじさんの前では全部無力だった。
「乗っ取りは現実的ではない」アインシュタイン稲田 DMで“わいせつ画像要求疑惑”の弁明にホワイトハッカーが異論
https://smart-flash.jp/entame/299434/1/1/
番組企画を装い、Instagramのダイレクトメッセージ(DM)で、一般女性に性的な画像を要求した疑惑が向けられているお笑いコンビ「アインシュタイン」の稲田直樹。
「稲田さんは、7月29日にSNSで、『全く身に覚えがない』と完全否定していました。その後、YouTuberのコレコレさんに再度追及され、『不正ログインされた形跡がありました。知らない間に沢山の方をブロックしていました』と投稿しました。現在は警察に相談しているそうです」(芸能記者)
乗っ取りが事実であれば重大な犯罪だ。逆に、本当に番組の企画を騙って女性にわいせつ画像を要求していたとすればこちらも大問題ーー。果たして真相はなんなのか。
と語るのは、国内初のネットセキュリティ対策会社「アルテミス」の創業者で、情報番組で司会男性の携帯電話をリモート起動させたこともあるほどの“腕”の持ち主である一般社団法人日本ハッカー協会の石川英治氏だ。
「もっとも典型的な“乗っ取り被害”は、何らかの方法でIDとパスワードを入手し、稲田さんのスマホではない別のスマホやパソコンからInstagramにログインしたというケース。ただその場合、稲田さんのスマホにSMSで通知が来るはずです。しかも、一度ログインできた場合、すぐにパスワードやメールアドレスなどを変更し、元のアカウントの持ち主を追い出すはず。稲田さんが何事もなく同アカウントを利用できていることを考えると、あまり現実的ではないでしょう」(石川氏)
では、稲田に気が付かれることなく、こっそりとログインしてDMを利用することはできないのか。
「その場合は前提として、スパイウェアを携帯電話に仕掛ける必要がありますが、今は、かなり難しいです」
と、こう語る。
「まず、iPhoneを利用している場合、AppStoreでしかアプリのインストールが出来ません。AppStoreのアプリは、アップルの審査を通過せねばならず、検査もかなり厳しい。故に、現状ではスパイウェアを仕込むのは、ほぼ無理です。Androidの場合は審査がザルなので、公式アプリにも危険なアプリが存在しているし、違法な野良アプリも出回っています。なので、スマホにスパイウェアを入れることは理論的には可能なんです。
ただいずれにせよ、リモートでインストールすることは不可能です。なので、携帯電話を直接他者が触れる環境が絶対に必要です。仮に、リモートで他人の携帯電話にアプリを入れることが出来る技術があるなら、女性にわいせつ画像を要求するより、世界的なIT企業に履歴書を送るべきです。100万ドル以上の報酬で採用されますよ。それぐらい稀有な技術ですからね」(石川氏)
もともと稲田は“DM好き芸人”として、SNSのDM機能を使ってファンと交流していることを公表していた。
「“ブサイク”ゆえに、女性に告白しても毎回、撃沈というのが稲田さんの“鉄板ネタ”の一つ。DMを使ったナンパまがいの行為をしていることは、芸人仲間からも弄られていました。こうした過去のエピソードからも、今回の“疑惑”がより一層真実味を帯びているんです。いずれにせよ警察の捜査の結果や、具体的な乗っ取りの手口などを詳細に説明しないとなかなか納得してくれるファンはいないのではないでしょうか」(芸能記者)
「稲田さんは、7月29日にSNSで、『全く身に覚えがない』と完全否定していました。その後、YouTuberのコレコレさんに再度追及され、『不正ログインされた形跡がありました。知らない間に沢山の方をブロックしていました』と投稿しました。現在は警察に相談しているそうです」(芸能記者)
三井住友銀行のキャッシュカードはOliveというサービス名で、カードとスマートフォンタッチ決済が可能で、SMBCアプリからデビットとクレジットの切り替えができ、複雑ではあるが良いサービスだと思い使ってきている。私はAndroidスマートフォン利用。
先日このOliveのデビットアカウントが不正利用されそうになり、阻止できたが、利用回復に若干苦労したので、何かの参考になるかと思い書いておく。
子供に携帯電話持たせてみたら、電話番号の前の持ち主があれな感じだったのね。
いろんな電話番号からばんばんお金貸せます!ってメッセージが届く。あと怪しい国際電話がもりもりかかってくる。
でも電話番号がきれいな番号かって契約してみるまでわからないし、手数料払って番号変更してもそれも汚れた番号じゃない保証はないし⋯
って考えた結果、povo使うのがよかったのね。
2. しばらくギガも購入せずにほっといて、迷惑電話とか迷惑SMSが届かないか見極める(届くようなら解約して1.からやり直し)
SBI証券は数日前にログイン方法(端末認証手順)を変更しましたが、とてもひどいものでした。
新しいSBI証券のwebサイトでID/パスワードを入力してログインボタンを押すと、突然40秒のカウントダウンタイマーと毎秒短くなっていく進捗バーが表示され、タイムアタックが開始されます。制限時間内に受信メールにかかれているURLをクリックし、難しい確認同意をした上で、確認コードの入力をして2回ボタンを押す事が強要されます。
新しい端末での初回ログインでは、必ずこの複雑な端末認証が必要となりました。
端末認証方法の詳細は後半に記載します。正しい制限時間は40秒x5回となりますが、40秒と誤認する方が多いと思います。またメール受信にかかる時間を考慮すると数分では全く足りないでしょう。
この端末認証方法では、してはダメとされている事を2つもユーザーに強要しています。SBI証券は急いでこの方法を中止して元に戻してください。対応が遅くなればなるほど、多くのユーザに誤った知識を学ばせる事になります。
1つは、「メールのURLをクリックしてはだめ。もしもクリックしても、その先の画面で重要情報の入力をするのは絶対だめ」なのにメール内URLをクリックさせて認証コードを入力させる行為。
もう1つは、「急かしてくるような行為は詐欺が多いので、ゆっくり考えて判断しましょう」が一般常識なのに、ユーザーをカウントタイマーで急かしながら複雑な操作を要求する行為。
この2つはフィッシングや詐欺被害を減らすために、様々な方たちが努力してユーザに啓蒙してきた事です。そのおかげで詐欺の件数もある程度抑えられていたと想定できます。なのにSBI証券のような大手金融機関が率先してルール違反を強要するのはありえません。せっかくのこれまでの努力が水の泡です。
セキュリティの啓蒙活動のおかげで意識が高まって詐欺を防げていた事例ってたくさんあると思います。例えば、30分以内に申し込まないといけない高額投資案件ってちょっと変だからやめておこうとか。クレジットカードの期限切れ警告メールは気になるけど、メールのURLではなくクレジットカード会社のトップページからアクセスして確認しようとか。
今後は、「証券会社でもカウントダウンタイマーに急かされながらURLクリックさせられたし、この奇妙なWEB申込み画面も問題なさそう」と油断して騙されるユーザーが出てきてもおかしくありません。
SBI証券としては、パスキーなどを導入するまでの一時的なつなぎのつもりらしいですが、数カ月間だとしても大手金融機関が不適切な手法を強要する悪影響は計り知れません。自社の影響力をもっと考えてください。
自社の利益を追求するのも結構ですが、それは公共の利益が損なわれない範囲でお願いします。
今回ユーザーから批判が出たためSBI証券ではカウントダウンタイマーを40秒から60秒に延長する改善をしたようですが、本質的な問題は解決していません。
緊急で端末認証方法を以前の方法に戻して、その上で今後の方針を再検討してください。今回の方法以外に許容できる選択肢がなかったのか甚だ疑問です。
---------------------------------------------
これは端末を事前登録してセキュリティを高めるためのシステムで、この事自体は全く問題ありません。
40,39,38,37という数字のカウントダウンと共に、横長の進捗バーがどんどん短くなっていき、あせらされます。
届いたメールを見ると長いURLが書かれていてそれをクリックして開くことを求められます。
ちなみに、SBI証券からは、以前にール内のURLをクリックしてIDやパスワードを入力してはいけないと通知が来ていました。
でもクリックしてみるしかありません。カウントダウンが継続していて急がされているので、ユーザーにはゆっくり考えている暇は与えられません。
URLをクリックした画面には「ユーザーネームやログインパスワードを入力したログイン画面は、メールやSMSなどから開いていませんか?」という赤字の画面が出ます。
そこで「ログイン画面はメールやSMSからは開いていません」を選択すると、認証コードを入力できるようになります。
カウントダウンが進んでいるので焦りながら、最初のパスワードを入力した画面はブックマークから開いていて、今は確認コードを入力する画面なので違うよなと判断する必要があります。
そして、このメールから開いた画面に確認コードを入力する必要があります。
メールの送信から、この確認コード入力完了までが40秒です。メール受信ラグまで考えると運が良くないと40秒では無理です。
多くの場合、一度は確認コードが時間切れとなり、新しく発行されたコードを入力してやっと認証ボタンを押すこととなります。認証ボタンを無事押せてとなるでしょう。
最初のログイン画面で「認証コードを入力し、認証が完了したことを確認しました。」にチェックを入れて「デバイスを登録する」ボタンを押して完了です。
ここまでに160秒以内に完了できなければ最初からやりなおしです。
(認証コード5回まで表示可能なので40秒x5回で200秒の猶予しかありません)
批判が出た事もあってか、8月15日に制限時間が40秒から60秒に延長されました。全体猶予はその5回分で200秒から300秒に延びました。
メール受信の時間や様々な操作を含めて、この制限時間です。5分では間に合わない事も多々あるんじゃないかなと想定されます。
---------
最後に、フィッシングへの対応について個人的な意見を1つだけ書かせてください
サイトが正しい事をユーザーの目視で確認しましょうってなっていますが、現実的に無理です。正しいURLもややこしくて、SBI銀行がnetbk.co.jpで、ゆうちょがjapanpost.jpなどなど、そんなの面倒で覚えていられません。URLを目視で正確に判定するのは不可能です。似たようなドメインにユーザーが騙されるのは仕方ないと思います、
ドメイン確認を自動でしてくれて、パスワードを安全に管理して自動入力してくれるパスワード管理ツールなしで日々安全にサイトを利用するのは不可能だと思います。
それなのに、金融機関もマスコミもパスワード管理ツールの案内を全くしないのが不思議です。
下記のような条件を満たしたパスワード管理ツールをみんなが使うべきだと思います。現実的には無料ならbitwarden有料なら1passwordが第一選択になります。
働けない。
大学には入ったけど初年で不登校になって、次の年だけ進級できたけどその次の年も不登校になって、最終的に退学ってなった。
バイトはコンビニやスーパーでやったけど、1日目ですごくダメ出しが多くて、2日目に体調不良になったと伝えたら来なくていいと言われて、仕事内容的にも無理そうだった。
その後地元の工場に就職が決まった時もあったけど、2日で続けられなくなってやめた。体力が持たなくて、次の日にマジで出社するのが怖いなと思った。
普通に脳があまり働かない。大学を中退した後に精神科でADHDとASDだとは診断された。最近になって投薬治療も始めたけど、あまり効果を感じない。というかむしろ副作用で眠気がすごい。
あとは何かバイトに応募してみたりもしたけど、履歴書の用意みたいなのが分からないし、あとは知らない番号から電話が掛かってきたりして、派遣の登録がどうみたいな話が来る。あとWeb面接の予定を入れてほしいみたいなのも来るけど、応募しても日時を忘れてしまう。
ハローワークで精神的な問題みたいなのを伝えたけど、精神科側に一度通ってくれ、精神科側も仕事の紹介はしてないのでハローワークに言ってくれという感じでたらい回しだった。
無理やり働こうと思うんだけど、気力が続かない。無気力というか根性がないのかもしれないが、一度は無理して隣の県の求人にまで応募したりまでは行った。でも無理だった。
生活保護とか障害年金とかいうのも考えたけど、ちょっと手続きがよく分からない。というより社会復帰というか社会参加を完全に諦めるのは良くないよなとも思う。
酒とかタバコとかギャンブルも一切やってないのに、どんどん頭が鈍っていくような気がするし、これは良くないなと思ってる。
別にいじめとか虐待とかされたわけでもないし、子どもの頃から両親や祖父母にはすごくよくして貰っていて、同級生からもとても親切にしてもらっていた。なのでどうしようかなあと困っている。小学生ぐらいの時だけ天才だったねみたいなパターンになってしまう気がする。ただ検査の結果だとIQだけはかなり高いらしいので、なぜ上手く行かないのかなと困っている。
自殺は絶対ダメだなとは思うんだけど、このままだとまずいなと思うし、死んだ方が楽なのかなとも思ってしまう。でもそれはそれで両親が悲しむだろうし。このような状況なら普通はさくっと切り捨てられてて当たり前だよなあとは思ってるんだけど。それに兄弟もいないし、両親に育ててもらった分を返せないのはダメだよなあと。なので両親の老後の介護のための資金とか、それはそれとしても自立のためにも働かないとなあと思いながら、色々な求人を見て応募はするんだけど、知らないメールや電話やSMSが一気に来るたびに、ちょっと少し混乱して、それで対応できるタスクがオーバーして全部無視してしまう。
正直なところ、子どもの頃に栄養失調になって後少しで死にかけというところで入院した事があったので、そこで助けてもらったのはものすごくありがたいんだけど、その頃の家族やお医者さんにどう申し開きをしたら良いだろうかと。まともに働けずに社会のお荷物になるぐらいなら、あの時に助けなければ良かったねと思われてしまうだろうか。
なんというか、無敵の人のように無関係な弱い人間を狙うような卑劣な事はしたくないし、弱い人間じゃなくても危害を与えるような事はしたくないんだが、それはそれとして自暴自棄になった時にどうしようかなあという思いはある。自殺はダメだし無敵の人まがいの事をやるのももっとダメ。なので何をしたらいいか。立花孝志さんとかものすっごく叩かれてるけど、ああいうアウトローな形で一旗揚げて食い繋げるなら、ああいうのも悪くないんじゃないかなと正直思う。もちろんやりすぎたらダメだけどね。
根性でダメなら薬で治せと思ったけど、それも上手く行かない。それじゃもうどうしようもないんじゃないかなあ。じゃあ何をしたら良いのか。なんか転売ヤーとか嫌われてはいるけど、儲かるんだったら正直そういうのやるよなと思う。今はやり方分かんないからやらないけど。あとは暴力団かどこかにでも頭下げて入るぐらいかなとか。まあ暴力団すら根性が足りずに続かない可能性もあるし。
とにかく根性が足りてないのかなあ。父親からは根性が大事だと言われていたけど、結局ちょっとそういうのには応対できなかった。なぜ私の両親のような人間から、私のような腑抜けた腐り切った根性のない出来損ないのような人間が生まれるんだろう。私の従兄弟だって発達障害があるから将来が心配と言われていたけど、それでも無事に大学まで行ったというのに。私の努力不足、甘え、怠惰、としか客観的に見ればいいようがない。
常にもうこんな人間は首を括って死ねばいいのに、と思ってしまう。でもそれは既に亡くなった祖父母を失望させるだろうし、両親に深い傷を残す事にもなるので、どうしようもないなと思ってはいる。いっそのこと、命を刈り取る死神でも来てくれればいいのにと思ってしまう。無料のホラーゲームで「楽に死ねる薬」っていうのがあるが、時々その事を考えてしまう。
あと、直接メールを送り付けるという違いも、かなり明確なちがいだぞ。
お前のその脳死引用は自分が違いを理解できないと恥の上塗りになるだけだぞ。
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 https://anond.hatelabo.jp/20250705143023# -----BEGIN PGP SIGNATURE----- iHUEARYKAB0WIQTEe8eLwpVRSViDKR5wMdsubs4+SAUCaGi4cAAKCRBwMdsubs4+ SMS+AP43ELPwtZeKdC5QqKoOGAW6EtPnuRdFwSqOSEKWEDm0jQD/e0cLM0sk7Asx O/mx5+44m6HRNuKokEGTzK2vFAG8Ewo= =3mye -----END PGP SIGNATURE-----
辞めた理由→
・LINEでの仕事のやり取りが多くて夜も休日も、プライベートの時間に仕事の連絡されると精神的にきつかった。
・「既読したんだから返信しろ」強要の人が多くて、返信する時間にほぼ1日費やされていて四六時中休めなかった。
・一度会っただけの人と、半ば強制的にプライベートの連絡先を交換しなければならない文化の違和感。
・未読件数が溜まること自体が精神的な負担で、「返信しなきゃ汗」という義務感に常に追われていた。
・自分も未読スルーしておきながら、自分の送った内容が相手を不快にさせていないか、返信が来るまで気を病むという新たなストレス。
そもそも朝から夜まで四六時中、無料で連絡取り合える状況がおかしい。だから人間関係でいざこざが起こるんだぜ。
手紙くらいが丁度想い伝わっていいだろ。
ってことで、コロナ禍もあり誰とも連絡とらずLINE消去したらマジで精神的に楽になった。
「LINEやってないんですよねーSMSならやってます。メールアドレスならあります。」
って言うとSMSは有料だし、わざわざメール送ってまでしょうもない内容送ってくる奴いない。だから無駄なラリーしなくて済む。←これ重要
ただ、LINE登録すると割引きされるみたいなのが出来ないのはネック。
総じて「LINEに気遣っていた10年間無駄だったな」と後悔。
やめたい奴はやめた方がええ。
>ケース①
では「パスワードを忘れた」時点で「メールアドレス」でパスワードリカバリできると思います。
Googleアカウントは「G-Mail」も使えることがこのパターンから外れる原因になってますね。
サービスにもよりますがメールアドレス解約しても問い合わせでアカウント復活は可能なように思えます。
その行動がどのような事態につながるかのアナウンスがない事を嘆いています。
(自サービス外のことは知らんと言われれそれまでですが)
>ケース②
さておき、パスキー自体は紛失するようなものではないのでスマホ紛失時についての確認をしておりました。
スマホ紛失し多場合、パスワードリカバリ用のメールアドレスをキャリアメールにしていると同様の事態を想定できますかね。
パスキー紛失時にバックアップコードでログインできるようなサービスもありますので
そのように設計できていないなら何らかの問合せサポートを行うべきかと思います。
(そのサービスが有料か無料かでもどこまで必要かの判断が変わるかと思いますが)
>ケース③
Googleアカウントではリカバリの電話番号に音声通知でリカバリ可能になっている状態もあります。
その場合SMSではなく固定電話で何とかなる可能性もありますね。
ケース①同様、問合せでアカウントをリカバリすればよろしいかと思います。
誰のせいという訳ではなく、このように状況別パターンを想定せずに
>ケース④
こちらもケース②と何も変わりませんね。
Googleアカウントでなければ問合せしたら復元できるかと思います。
愚昧なユーザーを切り捨てるのか
あらら、気づいていただけて何よりです。
>けど、あなたが仰っていること(事前に登録したリカバリ手段をなくしてもリカバリしたい)は技術的に困難ですし、
>あなたがパスキーきっかけでアカウントのリカバリ手段をなくしたと思っているだけで、パスキーとは無関係にリカバリ手段をなくしています
リカバリ手段の登録なくリカバリしたいのではなく、なんらかの登録を促す際にリカバリ手段について案内してほしいのです。
>・あなたは、Googleアカウント作成時に電話番号しか登録しなかった
これはその通りなんですが、パスキー登録する際にリカバリ手段で電話番号使うことを案内してほしいだけです。
そうすればスマホ紛失してパスキーでログインできなくてもパスワードをリカバリすることは可能だったと思われます。
忘れたつもりはありませんでしたが入力パスワードは違うと弾かれましたね。
もはや記憶があやふやな老人なのでメモ帳に記述していたのですが
パスキー設定後にパスワードでログインすることは叶いませんでした。
(過去に詰んだアカウントでの話で、今更どうでも良いことです)
後日、ショップに行って諸々の事情から電話番号変えての新規契約となりました。
Googleアカウントでパスキーの追加をする際にリカバリについてパスワードを確認しろって表示されていればと思う次第。
パスキーの仕組みは無関係でも「Googleアカウント」の「パスキーでログインできない場面」でリカバリ方法として関係してくるといった感じです。
>パスワード忘却かつリカバリ手段を失ってログインできなくなってしまう話なんてGoogleに限らずいくらでもあります
これは思いつかないと言うか知らないのですが、例えばどのサービスでしょうか?
まあGoogleアカウントに不満があるだけなので他は関係ないです。
(他のサービスでGoogleアカウントと同じ導線を意図されれば批判しますが)
>ただこれをパスキーが原因だと思い込んでいると、いくらパスキーを使わないようにしたところで、またリカバリ手段を失ったら詰みます
パスキー使わないんだったらパスワードのリカバリ手段として連絡先メールアドレスを登録しています。
今回の検証結果から本アカウントではリカバリ用の電話番号も登録しましたがスマホの番号なので紛失時はリカバリできませんね。
>「鍵をなくす前にスペアキーをつくっておきましょう」なら、「それを言われなかったせいで~~」とはなりませんよね?
他はいいのですがこればっかりは「それを言われなかったせいで」になります。
家でも自転車でも鍵のスペアは作っておいて保管するように案内されましたので。
>Googleに限らず、Web上のサービスか否かももはや関係なく、相手(サービス提供側)はあなたが最初にアカウントを作った人と同一人物か否かを確認できない状態です
本人認証をSMSや電話番号に頼ってるからこうなってることは理解できます。
しかしながらスマホ紛失時の本人認証をそこに持っていくGoogleの設計が悪いといってます。
これらGoogleアカウントに倣ってパスキー機能を実装するサービスが出ることを危惧する次第です。
>念のため書いておきますが、ここでいう「パスワードレス」というのは、「認証時にパスワードの *代わりに* パスキーが使える(認証時にパスワードが不要になる)」であって、
そのようですね、私が最初にパスキー設定を行う際にはそのように言われてはおりませんでしたので勘違いして設定を入れました。
>パスキーをなくしたらパスキー以外の認証手段が必要になります
これについても特に案内ありませんでしたので、てっきり「パスキーのセルフリカバリ」手段があるものと勘違いしておりました。
>その場合、認証手段がパスキーだけならば、パスキーをなくしたら当然詰みます(そんな設定が実際にできるかは確認してません)
メルカリなどでは電話問い合わせで(パスキーなのかアカウントなのかは不明ですが)復旧可能なようです。
>Googleは他のサービスと比べて認証手段(≒リカバリ手段)が豊富です。登録や見直しも結構うるさく促してくる印象です
回答いただいているのに恐縮ですが、実際にリカバリできるか確認されておられないかと見受けられます。
リカバリは可能なのかもしれませんが、Googleアカウントで私が試した限り案内されている想定された流れでリカバリはできないようになっています。
>「パスキー用のリカバリー」なんて区別する必要はありません。正直、「パスキーをリカバリー」という発想が意味不明です
パスキー設定時にパスキーがなんなのか完全に把握しろと言うなら、まあ周知が足りてないなと思います。
「Googleアカウントでのパスキー追加設定時の(アカウント)リカバリはパスワードリカバリ他、以前のリカバリ設定を有効にして確認しておく必要があります」
とか
「パスキーの設定を追加するにはリカバリコードの生成を行なってからにしてください」
とか、メッセージ出すだけでも違うと思うのですが。
>Googleがメアドなしでユーザー登録を完了できるのは、Gmailを運営しているからのような気がしますが、本当のところはわかりません
Googoleが正とされなければ構いませんが
>また、Google以外にも、初回登録時にメアドを要求してこないサービスもありますのでお気をつけください。Yahooとかもそんなだった気がします
そうですねYahooは申請フォームあるので、そちらからリカバリ可能なようです。
>「あなたがまた詰まないように…」というのは、ただの老婆心なので、あなたの感情に従って無視して頂いても構いません
ありがとうございます、現在使用中のGoogleアカウントでパスワードも分からなくなった際にログインできるか検証を行い、リカバリ設定しました。
>「パスキーにするとスマホなくしたときに詰む」は、大抵間違い(詰む条件はもっとある)なので、あまり一般化して触れ回るのは好ましくないです
元の話題がGoogleアカウントに関してでしたので、Googleアカウントのパスキー実装方法はお手本にならないよと伝えたいと思います。
>パスキーを有効化しても、パスワードを忘れないようにしよう(認証手段は複数あると安心)
いろんな人がパスワードが有効かされたままだとパスキーのフィッシング耐性が落ちるといってますが?
>アカウントのリカバリ手段(≒パスワードの再発行手順)を確認しておこう(登録情報を最新化しておこう)
登録情報最新化だけでなく、実施にリカバリ可能か確認してください、Googleは容易に黙って手順を変えてきます。
>電話番号やメアドを手放す前に、連絡先がその電話番号(SMS)やメアドだけになっているものがないか確認しよう
これは老人にはきついですね、電話帳に登録されている友人、知人、親戚には確認しますが
インターネットの何某と言われるとメモを見ながら対応するしかありません。
さすがにもう見てないかな?
けど、あなたが仰っていること(事前に登録したリカバリ手段をなくしてもリカバリしたい)は技術的に困難ですし、
あなたがパスキーきっかけでアカウントのリカバリ手段をなくしたと思っているだけで、パスキーとは無関係にリカバリ手段をなくしています
パスワード忘却かつリカバリ手段を失ってログインできなくなってしまう話なんてGoogleに限らずいくらでもあります
ただこれをパスキーが原因だと思い込んでいると、いくらパスキーを使わないようにしたところで、またリカバリ手段を失ったら詰みます
そういう方がいらっしゃるのは個人的な経験からしてもわからなくもないですが、これを「どこかに書いておけ」というのはやはりちょっと他責思考が強すぎると感じました
「鍵をなくす前にスペアキーをつくっておきましょう」なら、「それを言われなかったせいで~~」とはなりませんよね?
(本当にどこにも書いていないかも確認していません。どこかに書いてないかなぁ。個人的には、「スマホ入門」的なコンテンツの範疇のような気がします)
Googleに限らず、Web上のサービスか否かももはや関係なく、相手(サービス提供側)はあなたが最初にアカウントを作った人と同一人物か否かを確認できない状態です
現実世界と同じです。単に、相手(サービス提供側)が知っている情報(=利用者が知らせている情報)が少なすぎて本人確認ができないのです
なるほど、一理あるような気もします
念のため書いておきますが、ここでいう「パスワードレス」というのは、「認証時にパスワードの *代わりに* パスキーが使える(認証時にパスワードが不要になる)」であって、
ちなみに、MSアカウントなどは本当に「パスワードそのものをなくす」ことができますが、
その場合、認証手段がパスキーだけならば、パスキーをなくしたら当然詰みます(そんな設定が実際にできるかは確認してません)
最近のほとんどのサービスでは、事前にメアドなりを登録しておけばリカバリできるようになっています(それはあなたもご存じのとおりです)
(こんなことをいうとあなたに怒られるかもしれませんが、Googleは他のサービスと比べて認証手段(≒リカバリ手段)が豊富です。登録や見直しも結構うるさく促してくる印象です)
「パスキー用のリカバリー」なんて区別する必要はありません。正直、「パスキーをリカバリー」という発想が意味不明です
Googleがメアドなしでユーザー登録を完了できるのは、Gmailを運営しているからのような気がしますが、本当のところはわかりません
また、Google以外にも、初回登録時にメアドを要求してこないサービスもありますのでお気をつけください。Yahooとかもそんなだった気がします
いうまでもありませんが、登録したメアドが使えなくなっても、リカバリできず詰むことになります
大本の増田についたブコメでも「登録してたのが(もう使っていない)キャリアメールで詰んだ」というのが星を集めていました
--
[追記]
「あなたがまた詰まないように…」というのは、ただの老婆心なので、あなたの感情に従って無視して頂いても構いません
「パスキーにするとスマホなくしたときに詰む」は、大抵間違い(詰む条件はもっとある)なので、あまり一般化して触れ回るのは好ましくないです
言いふらすなら、
を伝えていきましょう。私もそうします
パスキーを設定するだけならバックアップコードの取得は必須じゃない
Googleアカウントには「パスワードだけでログインできるモード」(デフォルト)と「パスワードに加えて2段階認証(2FA)が必要なモード」がある
2FAには、SMS、TOTP(Google Authenticatorとか)、バックアップコード、すでにログイン済みの端末で許可するなどの方法が使える
パスキーは単独でパスワード+2FAの効力があるけど、2FAを必須に設定してなければ単なるパスワードの代わりとして機能する
2FAは有効にした方がもちろん安全だけど、十分に複雑で使い回しでないパスワードを設定していて、普段パスキーを使っているなら必ずしも2FA必須にしなくてもいい
パスキーはパスワードと違ってフィッシングによって奪われる心配がないから
