ワンタイムパスワードうんぬん。

2015/09/24, 09:16

■おーてぃーぴー
otp.jpg

セキュリティを飛躍的に高めてくれる、ワンタイムパスワード(OTP)。
このブログでも実装当時(2年以上前)に記事にしています。

 ワンタイムパスワードを設定しよう(2013/8/8)
 VITA版でOTPを導入する理由と、その方法(2013/8/15)
 ワンタイムパスワードに関するSEGAへの提言的な何か(長文)

…改めてお読み頂かなくても大丈夫ですが、それほど大切なモノだということ!
そんな優秀で便利な仕組みながら、障害発生によりログインができなくなる事態に。
一昨日と昨日の夜、連続して障害の発生してしまいました。
それにあわせ、色々な情報が錯綜しているようですが、

・PSO2が用いるOTP及び関連サーバの管理会社はSEGAではない。
 → サードネットワークス(株)が開発・管理しているシステムです。
・同様に委託しているサービス(例:Gungho)も障害が発生している。
 → OTPシステムそのものに障害が出ているということ。
・SEGAが「OTPを解除してログインするように」とアナウンスをした事実はない。
 → するわけがない。
・OTPを自らで解除した場合、再登録までは補償対象外。
 → アカウントハックされても対応してもらえません。

あたりの認識はしっかりとしたいところです。
自分の身を守るのは自分なのです。
■危機管理
pso20150922_141203_182.png

障害の理由は明らかにされないでしょうけれど、
先日の障害発生時には、

 「ログインするために一時解除した!」

なんて方もいるそうです。
今回は大元の障害であるため手の打ちようがなかったワケですが、
これによって、OTPは…となるのはアカン、アカンてぇ。
…あくまで推測ですが、それを狙った下手人による仕掛けのような気もしますし!
単純なエラーなら…良くはありませんが、不幸中の幸いですね。

PSO2は、パスワード+IDを入力したあと、OTPの認証に移ります。
つまり、乗っ取られてはいないけれど、パスとIDが割れている、なんて状況もありえます。
そんななかで、OTPを解除したとしたら…。
コワイ!

上述の通り、OTPを解除すれば、補填は受けられません。
それが障害発生に起因したコトだとしても、おそらく無理でしょう。
障害によってログインできず、☆13チャンスやらキューブやらを逃すことになったとしても、
アカウント自体を奪われてはお話になりません。

 「自分だけは大丈夫!」

と思い込むのも自由ですが、それならば全ては自己責任。
誰も助けてくれないし、誰に助けを求めてもいけないことは認識しなければなりません。



■さっくりまとめ
pso20150922_141321_187.png

どちらかといえば、PSO2およびSEGAも被害者であります。
社外委託ではなく社内導入にするべきだったとか、
色々な案や意見もあることでしょうが、少なくともSEGA本体の落ち度ではありません。
ありませんが、ユーザーは

 「OTPを使っていたらログインできなかった」

なんて程度の認識にとどまるものです。
その結果OTPユーザーが減少し、アカウントハックが増え、対応案件が増え…
となれば、SEGAもユーザーも得をしません。
得をするのはハッキング犯のみ。
得をするためなら、このようなブログにまで「OTPなんてダッセーよな!」を書き込みにきます。
そんな連中に騙されちゃあいけないよ。

 「SEGAの導入したシステムで障害が発生したんだから、OTPを解除してハックされても補填が」

なんて甘い言葉を信じちゃいけないよ。

___
OTPの有用性・堅牢性は今更言うまでもありません。
それだけに、その信頼性を揺るがす事態を看過してはなりません。
これを機に自社開発にするとか、サーバを借りる形態にするとか。
コラボコスの制作や何やらにうつつを抜かす前にすることがあります。

ログインしたいときにできなかった、なんてのはすごーく冷めますからね。
…それすらも

 「コストが」

の一言で足蹴にしそうではありますけどね!
関連記事

COMMENT

今回の件に関しては、OTPの解除すら受け付けられない状態でしたので、どうしようもないです。
まぁ、ログインする時に外して、ログアウトしたらいONにする。これがOTPの正しい使い方になりそうな予感が…
2015/09/24(木) 11:04:25 |URL|どっかのひと #- [EDIT]
vitaだとOTP有効にしててもログイン時にOTPパスの要求がないから今回の不具合でも特にログイン出来なかった、なんてことはありませんでした。
いつくるかもわからないOTPの不具合に備えて特に欲しくもないvitaを用意する、なんていうのは本末転倒もいいところですが…
2015/09/25(金) 06:31:55 |URL|名無乃権兵衛 #- [EDIT]
今回のは例えるなら一般家庭がセコムしたら
セコムの不具合でお父さんが家に入ろうとしたら警報鳴っちゃったって感じですね
ログイン出来なくてやり場のないモヤモヤを抱くのはまあ分かりますがSEGAを責めるのはお門違いのよーな
後、自社開発にしろ!ってのは論外です、むしろノウハウもないSEGAが手を出した日にはもっと酷い事態になるのが容易に想像が付きます。餅は餅屋なのです。餅屋が食中毒起こしたら餅屋が悪いのです。
2015/09/25(金) 07:37:38 |URL|5鯖ヤスミマン #- [EDIT]
いやー、やられました。
まさか自宅に鍵かけたら"家主の"帰宅を拒否されるなんて誰が予想出来たでしょう。
情報化社会などと揶揄される現代において、ワンタイムパスワードや二段階認証のような堅牢なセキュリティは確かに素晴らしいものです。
プレイヤーが各々の心血を注ぎ込んだゲームのセーブデータは、たとえ実体を持たない0と1の塊と言えど紛れも無く「その人」を構成するパーツとなり得る。
しかし、その堅い防御も範囲を見誤ってしまっては元も子も無い。家主を締め出してしまう扉など、もはや扉としての役目を全うしていない。
概要に関してはSEGAの公式ページや『弐挺拳銃』の過去記事に任せるとして、当然のようにOTPを導入していた自分も入れない状態に何度か遭遇しています。っていうか今この瞬間も入れない。デイリーどうしよう。
さすがにこの状況で「それでもログインしたいの!」とOTPを解除しに行くほど馬鹿ではありませんし、SEGAを責める気も毛頭ありません。むしろ一部の心ないユーザーからのバッシングを受け、SEGAさえも被害者になっている様子。矛先向ける相手間違ってんよ。
PSO2以外でも件の不具合が発生している現状、十中八九原因はSecureOTPのアプリにあるのでしょうが(Google Playのレビューとか酷いことになってますね)、果たしてどうなることやら。
サードネットワークスから復旧に時間がかかりそう、とアナウンスがあってから早1ヶ月弱。
外野がギャーギャー騒いだところで何も解決しないので、ひとまずは果報を寝て待つしか無いでしょうね。
…ただ、どのような結果に辿り着いたにせよ、SEGAが「今後も」SecureOTPを拝借し続けるか否かは少し考える必要がありそうです。
2015/09/26(土) 01:46:01 |URL|ぷりにぃ #rzVhfMJo [EDIT]
コメントありがとうございます。
◆どっかのひとさん
OTP自体の信頼性は揺るがずとも、利便性を大きく損ねることになれば、
仰られているような選択をする方も出てくる…のかもしれませんね。
さすがにそれが正しいとは思いませんが…!
◆ななし壱号さん
Vitaは逆に、落としたり忘れたりした際の危険がありますよね。
自宅でのみプレイするのならば心配はありませんが、
仰られているように、そのために…というのは厳しいかもしれません。
PS4版でOTPがどうなるかはわかりませんが、それはそれでPSN障害が…!
◆5鯖ヤスミマンさん
SEGAが取りうる対応は、現状維持/委託先変更/自社開発として、
左から順に可能性は高い(=低コスト)ですね!
比較対象にもなっていたFFXIVのスクエニは、
FFXIからのノウハウのみならず、バックにいる関係人員の数が違うでしょうしね。
月額無料ゲームの良し悪しなのかなーと思います!
◆ぷりにぃさん
入りたいときに入れない、遊びたいときに遊べない…は大きいですからね。
Google認証システムに変更する企業もあるようですし、
代替手段の比較検討はSEGAも行っているのかなと思います。
SecureOTP自体が安定してくれるのが一番ですが、どうなることやら。
仕組み自体は素晴らしいモノなのですから、何とかうまく運用してもらいたいですね!
2015/10/05(月) 09:04:21 |URL|松乃雪 #- [EDIT]

COMMENT FORM

  • URL:
  • comment:
  • password:
  • secret:
  • 管理者にだけ表示を許可する

TRACK BACK