質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

91.06%

  • Google

    443questions

    Googleは、アメリカ合衆国に位置する、インターネット関連のサービスや製品を提供している企業です。検索エンジンからアプリケーションの提供まで、多岐にわたるサービスを提供しています。

  • セキュリティー

    394questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

ログインフォームのID確認

解決済

回答 2

投稿

  • 評価
  • クリップ 2
  • VIEW 183

te2ji

score 9338

最近、Google のログインフォームが二段階になり、一段階目で「ID」の存在確認、二段階目で「password」の確認になっている事に気がつきました。

セキュリティの教科書的には、「ID」の存在確認は NG なはずですが、なぜこういった設計に変化してきたのでしょうか?

セキュリティ設計を軽視するサービスではないので、変化の原因が気になります。ご存知の方、教えてください。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+4

ログインフォームで最初にIDのみを入力させるサイトは最近増えてきた印象があります。Googleもそうですし、一部のネットバンキングもそのような仕様です。ネットバンキングの方は、フィッシング対策としてそのような施策を採用しているのだと思います。
このテーマで講演したことがあるので、スライドを紹介します。

セキュリティの都市伝説を暴く

Googleの場合はそこまで単純な理由ではないかもしれません。IDとパスワードのどちらが間違いかを隠す従来の手法は安全面のメリットもありますが、ユーザビリティを損なうというデメリットもあります。ユーザビリティを高めると、ユーザーが長く複雑なパスワードをつけることを心理的に妨害しにくいという面もあり、これを含めて総合的な判断をした結果なのだと思います。
付け加えるならば、Googleは不正ログインは相当数のアタックがあるはずで、攻撃の統計データも蓄積されているはずです。この統計データの解析から、「IDとパスワードを別々に入力しても安全性は損なわれない」と判断したのかもしれませんね。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/12/19 21:03

    スライド、拝見しました。そのままの内容で講演されていたのですね。
    大変勉強になりました。
    回答ありがとうございます。

    > ネットバンキングの方は、フィッシング対策としてそのような施策を採用しているのだと思います。

    こちらの記述が理解できなかったのですが、どういった観点でフィッシング対策になるのでしょうか?
    正解の ID を投入した場合の挙動は変わらない気がするのですが。

    もしお時間あれば、ご教示いただけると幸いです。

    キャンセル

  • 2017/12/19 21:45

    フッシング対策になる理由ですが、IDを入力した後、パスワード入力時に、ユーザーが指定した画像が表示されるようになっています。ユーザーがどの画像を選択したかは本人とサイト運営者しか分からないので、フィッシングサイトではでたらめな画像を表示するしかなく、利用者がそこで気付けるという理屈です。
    しかし、この仕組を理解して運用できるためには、利用者にITリテラシーがそれなりにないと難しいと思うことと、ITリテラシーがあればそもそもフィッシングに気づくだろうということで、どこまで実効性があるかは疑問です。

    キャンセル

  • 2017/12/19 21:54

    スッキリ理解できました!
    ありがとうございました。

    どこかのサイトでそういったシークレット画像登録をした気がしますが、すっかり忘れていました。
    リテラシー、大切ですね^^;

    キャンセル

+1

JavaScriptフロントエンドの普及してきた現代では、「IDの有無チェック」が容易にアクセス可能となってきたという面も大きいのかと思います。

Teratailでも、新規登録フォームにメールアドレスを入れれば、即時で「このアドレスは使用されています」と出ます。このような環境下では、ログインフォームだけIDの有無を秘匿しても、セキュリティ的な意味はなくなっています。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/12/19 11:01

    新規登録フォームで、IDの存在確認ができることは、確かに「セキュリティ的な意味」が減じた理由として大きそうですね。昔は、「登録」って押した後に、「このIDはすでに使われています」って出てイライラしたのを思い出しましたw

    ただ、ログイン時に ID のみ先に検証することの意味が思い浮かびません。
    ユーザの利便性が大きく向上するといったことも無いように思いますが、何か気がつく点はありますか?

    キャンセル

  • 2017/12/19 11:03

    Googleの場合、複数ログインしていると「アカウントの選択」画面となります。「項目の選択」と「パスワードの入力」を1画面で組み合わせるのもアンバランスと考えて、分けているのかもしれません。

    キャンセル

  • 2017/12/19 13:02

    確かに、Google はマルチアカウントに対応しているので、ちょっと特殊かもしれないですね。
    回答ありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 91.06%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 解決済

    Laravel のログイン処理の書き方 (PHP)

    現在、ユーザーが 私の Laravelで作った アプリケーションにログインできる機能を追加しようとしています。 $rules = array( 'email' => 'requi

  • 受付中

    PHPでのユーザーログイン機能構築

    前提・実現したいこと PHPでシステムを作っています。   ユーザーのログイン機能を実装したいのですが、文献等も乏しく開発できません。 CakePHP等のフレームワークを使用

  • 解決済

    httpで接続していた期間で考えられるリスク

    現在、Salesforceのサイトという仕組みを用いてエンドユーザ向けのマイページを構築しています。 運用開始から2ヶ月ほどはhttp接続をしており、ここ最近になってhttps接

  • 解決済

    MW WP form プラグインの管理者宛メールの設定について

    現在、ワードプレスのMW WP formを使用して、 サイトの退会処理の管理を行っております。 ここで、管理者宛通知の内容を変更したいのですが、 氏名を抜き出すようにした

  • 受付中

    特定の情報をバックエンドのデータから引っ張ってくるようにしたい

    access2010+VBAでの質問です。 フロントエンドとバックエンドに分かれています。 社内LANを使用しています。 特定の人しかアクセスが出来ないフォルダに

  • 解決済

    deviseでログインができない

    前提・実現したいこと deviseでログインをしたところ、エラーも出さずログインできずにそのままログイン画面に止まってしまいます。rails cでユーザーが保存されていることも確認

  • 受付中

    [php]個人情報が登録されるサービスのセキュリティについて

    お世話になっております。 この度、クライアントが管理画面よりお客様管理をするサービスを構築中です。 流れとして 1.ログイン 2.ログインアカウントに対応した顧客情報

  • 解決済

    CSRF対策の実装を理解したい

    現在Webアプリを作っていてCSRF対策を実装します。 作りとしてトークンを設定する方法なのですが、いまいちなぜその実装をするとなぜ不正リクエストを防げるのか理解できていません

同じタグがついた質問を見る

  • Google

    443questions

    Googleは、アメリカ合衆国に位置する、インターネット関連のサービスや製品を提供している企業です。検索エンジンからアプリケーションの提供まで、多岐にわたるサービスを提供しています。

  • セキュリティー

    394questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。