Q&A
新規登録フォームで、IDの存在確認ができることは、確かに「セキュリティ的な意味」が減じた理由として大きそうですね。昔は、「登録」って押した後に、「このIDはすでに使われています」って出てイライラしたのを思い出しましたw
ただ、ログイン時に ID のみ先に検証することの意味が思い浮かびません。
ユーザの利便性が大きく向上するといったことも無いように思いますが、何か気がつく点はありますか?
最近、Google のログインフォームが二段階になり、一段階目で「ID」の存在確認、二段階目で「password」の確認になっている事に気がつきました。
セキュリティの教科書的には、「ID」の存在確認は NG なはずですが、なぜこういった設計に変化してきたのでしょうか?
セキュリティ設計を軽視するサービスではないので、変化の原因が気になります。ご存知の方、教えてください。
回答2件
0
ベストアンサー
ログインフォームで最初にIDのみを入力させるサイトは最近増えてきた印象があります。Googleもそうですし、一部のネットバンキングもそのような仕様です。ネットバンキングの方は、フィッシング対策としてそのような施策を採用しているのだと思います。
このテーマで講演したことがあるので、スライドを紹介します。
Googleの場合はそこまで単純な理由ではないかもしれません。IDとパスワードのどちらが間違いかを隠す従来の手法は安全面のメリットもありますが、ユーザビリティを損なうというデメリットもあります。ユーザビリティを高めると、ユーザーが長く複雑なパスワードをつけることを心理的に妨害しにくいという面もあり、これを含めて総合的な判断をした結果なのだと思います。
付け加えるならば、Googleは不正ログインは相当数のアタックがあるはずで、攻撃の統計データも蓄積されているはずです。この統計データの解析から、「IDとパスワードを別々に入力しても安全性は損なわれない」と判断したのかもしれませんね。
投稿2017/12/19 11:10
総合スコア11701
0
JavaScriptフロントエンドの普及してきた現代では、「IDの有無チェック」が容易にアクセス可能となってきたという面も大きいのかと思います。
Teratailでも、新規登録フォームにメールアドレスを入れれば、即時で「このアドレスは使用されています」と出ます。このような環境下では、ログインフォームだけIDの有無を秘匿しても、セキュリティ的な意味はなくなっています。
投稿2017/12/19 01:42
総合スコア145183
Googleの場合、複数ログインしていると「アカウントの選択」画面となります。「項目の選択」と「パスワードの入力」を1画面で組み合わせるのもアンバランスと考えて、分けているのかもしれません。
確かに、Google はマルチアカウントに対応しているので、ちょっと特殊かもしれないですね。
回答ありがとうございました。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2017/12/19 12:03
2017/12/19 12:45
退会済みユーザー
2017/12/19 12:54