ワンタイムパスワードを設定しよう

2013/08/08, 09:38

■6/1000万
hellomack.jpeg

アカウントハックが大変な問題となっています。
集めたアイテムの数々のみならず、大事に育てたキャラクターをも消される可能性があるアカウントハック。
なんとか防ぐ手立てはないものか…!


あります。

それは!
ワンタイムパスワードです!

…ま、私が熱を持ってご紹介するまでもなく有名ですよね(冷静


まだ設定してない方は、いますぐしてきましょう、してこい(豹変
こんなブログを見る時間があるのならば、それくらいできるはずです。
ビジフォンで紐水着の転売を目論んでいる時間があればできるはずです。
このブログを閲覧するにはOTPの導入が必要です!


http://pso2.jp/players/security/onetime/ ←いってらっしゃい。


「めんどくさそう…」「設定わからない」という方は見ていきなされ…見ていきなされ…。
(あれさっきと言ってること矛盾してる)
とりあえず、だらだら書くと長くなりそうなので、簡潔にQ&A方式でいきます。便利ですね。

…と思ったけどやっぱり長くなった(白目
大事なことだからね、しかたないね。
Q.ワンタイムパスワード(OTP…One Time Password)導入のメリットって?
A.非常に高確率でアカウントハックを防止できることと、被害時の補填。

 OTPは、60秒ごとにランダムな6桁の数字を生成します。
 そこに表示された数列を入力・認証することでログインできるようになるのですが、
 このOTPをブチ破ろうと思ったら、6/1000万という確率を引かないといけません。
 6/1000万をざっくり計算すれば、10枚セットの宝くじで4億円が当選する確率よりも低いです。
 考慮すべき点は"60秒ごと"とか"生成アルゴリズム"とかありますが、そういう細かい所はええねん。
 そして何より大事なことなのですが、
 「ハックされないこと」より万が一…千万が一ながら、「ハックされた時」に効果を発揮します。
 公式サイトで言及があった(http://pso2.jp/players/news/?id=1509)部分を抜粋しますね。

 また、アイテムが売却されてしまうなどの被害を受けた場合も、6月5日(水)以降は、
 ワンタイムパスワードを導入していた場合に限り、後日失われたアイテムの補填対応を実施させていただきます。
 ワンタイムパスワードをご利用になっておらず、アカウントの盗用が行われた場合は、
 アイテムの補填はいたしかねますので、ご注意ください。


 「OTPを導入していたら可能な限り補填するけど、してなければ泣き寝入りだよ」ということ。
 その下に※印で免責的なことも書かれていますが、あくまでも(SEGA側の)保険としての一文でしょうね。

 ともかく、

 ・6/1000万という宝くじ当たるレベルの確率が数十・数百万あるアカウントのうち自分に起こる
 ・そんな天文学的確率に遭ったとしても補填を受けられる
 ・継続利用で報酬ゲット(ワンタイムパスワード継続キャンペーン→http://pso2.jp/players/news/?id=1633)

 というわけで、導入しない理屈はないように思います。

http://pso2.jp/players/security/onetime/ ←さぁさぁ、いってらっしゃい!
 

Q.じゃあOTPを設定していない状態でハックされたら、サポートしてもらえないの?
A.もらえない確率は非常に高いです。

 アイテムが売られキャラクターを消されても、SEGA側としては
 「再三告知しているし、不正アクセスの危険性をゲーム内でも周知していますよね。
  用意したセキュリティをお使いでないのだから対応致しかねます」で終わってしまいます!
 簡単にいえば「コストが馬鹿にならないんだから自衛してない人は知らん」ということ。
 
 企業的な部分を考えれば、上記の通りハック確率が6/1000万という数値になるOTPは
 それだけ対応する案件数を減らせる=運用コストを下げられるわけです。
 しっかりとセキュリティを構築した方には、しっかりしたサポートを保障する…という考え方は
 こちらが完全なる不利益や不都合を蒙らない限り、ユーザーとしても歓迎すべきではと私は思います。
 多少「面倒だなぁ」と思っても、ハックする側はそれ以上に面倒になるわけで。
 面倒だなぁといっても6桁の数字なんて入力に10秒もかかりませんし、たいした手間ではないでしょう。
 その手間を惜しんですべてを失うのは本末転倒極まれりと言われても仕方ありません。


http://pso2.jp/players/security/onetime/ ←というわけでいってらっしゃい!


Q.でも実際のところAndroid版やiPod版のアプリの評価が悪いんだけど?
A.…あんまりアテにしないほうが良いと思います。


 それこそOTPが広まるのを恐れる人々が悪い評価をつけているかも知れません。
 実際に起動しないケースもありますが(私もNexus7でエラー発生)、
 ・本体の再起動
 ・キャッシュの削除
 を行えば改善されることが多いようです。(私自身も改善されました)
 個人情報が…という懸念も、そのようなトロイ的アプリを開発するリスクと、
 それによって開発側の得られるリターンを考えれば、だいぶ分の悪いお話ではないかと思います。


http://pso2.jp/players/security/onetime/ ←いいからいってらっしゃい!


Q.携帯とアンドロイドとスマホの三つがあるけどどれがいいの?
A.一番のオススメは専用の生成器です。


 画像つきで紹介されているもののうち、「Bruce Key」というものがおすすめ。
  → Amazonで1280円(送料無料)
 …アフィリエイトなどはありませんので、安心してくださいネ。
 上に並べられているジェムアルト社製のは品質面で不安がありそうですね。
 そして、なぜこれがオススメかというと、管理運用が非常に楽だから。

 ・注文する
 ・届いたら本体裏面のコードをPSO2に登録する
 ・おわり

 らくちんですね。
 携帯やスマホの場合は、ダウンロードしてインストールする際に前述のようなエラーが起きたり、
 解除し忘れでの機種変更や買い替え、万が一紛失した場合などに行う申請が厄介です。
 「スマホなくした!」とSEGAに報告し、本人確認の連絡が来て認証されたら解除という流れ。 
 それまではログインできません。セキュリティですから仕方ないね。
 その点でこの生成器は家に置きっ放しにできるものであり、紛失の危険は小さいといえます。
 …家族が勝手にログインする、というのは家庭の問題ですので別途自衛してくださいネ。


http://pso2.jp/players/security/onetime/ ← しつこい?褒め言葉だね(ニッコリ


Q.携帯スマホの機種変更をするときはどうするの?
A.SEGA IDの管理で一度OTPを無効にしたのち、新機種で再登録します。


 携帯やスマホの端末固有IDでOTP側に登録されるため、変更前に解除→変更後に再登録となります。
 これを忘れると↑のようにSEGAからの連絡待ち&認証待ちになります。
 自分で変更手続きを行えれば、すぐにその場でログインが可能になります。
 FF14ちゃんでは強制解除パスワードが設定されていて、うっかり変更に対応できる利点はありますが
 逆に言えばそのパスワードが漏れれば"終了"です。
 PCのメモ帳にメモっちゃったりした日には、とても悲しいお話になりそうですね。
 

http://pso2.jp/players/security/onetime/ ← っていうか公式を見たほうがわかるよ!



■まとめ

1.特に拘りはないけど、どれ使えばいい?
 → Bruce Keyを買って使いましょう。1300円でアカウントが保障されると考えれば安いものです。

2.お金を出すのはちょっと…スマホでもいい?
 → もちろん良いですが、やっぱりBruc(略

3.金出したくない、登録もめんどい、でも補填しろ!
 → 権利とは義務を果たしたものだけの"権利"なのです。



6/5以降、アカウントハックは「一方的な被害」から「(OTPを設定していない)自業自得」といえる状況となり
ユーザー側での対応が不可欠となっています。

サービス提供側のみの努力で行えるセキュリティ対策には、どうしても限度があります。
ユーザー自身が多少の手間or出費を荷うことで、
ユーザーの私たちは安心と保障を、ベンダーのSEGAは業務の効率化(による開発運営の効率化)を得られる、
と考えれば、「面倒だな」で止まってしまうことの勿体無さは伝わりますでしょうか。

---
検証依頼やら話題振りは全力で見なかったことにする私ですが、
OTP関連で私がお手伝いできることがあればさせて頂きます。
…もっともiPodは持っていないし知識が豊富なわけでもありませんけどね(白目
それでも、それなりに訪問して頂けるブログとしては全面的にOTPを推していく必要があるかな…
と思いこのような記事を書いてみました!


まとめのまとめ!

導入したいけどわからん → Bruce Key買いましょう。1300円とあなたのアカウント、どちらが大事ですか?
ボクは私は大丈夫! → 6/5以降にハックされた方全員と同じ考えだね(ニッコリ

関連記事

COMMENT

始めまして(´・ω・`)ノシ
スマホでOTP設定しようと思ったんですが
何故かダウンロード出来ないので
Bruce Keyを買おうと思ったんですが、
AMAZONでしか手に入らないものなのですか?
2013/08/08(木) 11:12:01 |URL|名無乃権兵衛 #- [EDIT]
初めましてゆきのと申します
実は私6/2に垢ハクを喰らいましてね・・・
OTP実装三日前にされて泣きを見た経験があります
今は警察方の協力で事無き得ましたが、やっぱり今でも・・・OTP設定しない人いるんですかねぇ・・・?
とまぁ、気になって記事なのでコメントさせて頂きました( ´,_ゝ`)
いやぁ・・・ボクは私は大丈夫理論・・・散々言われましたよ・・・ハハッ・・
2013/08/08(木) 14:24:44 |URL|ゆきの #Y8IuJLi6 [EDIT]
◆ななし壱号さん
コメントありがとうございます。
Amazonのレビューにもあるように、独占販売か何かで他サイトでは扱っていないようですね。
送料無料とはいえ、メール便不可なのはこういう小物としては結構痛手かも。
受け取りって面倒ですし(聞いてない
SEGAはタイアップで特価の980円+機器に貼れる特製シールつき!
とかを行えば、バカ売れかつ普及も進んで一石二鳥だと思うのですが…営業部仕事しろ頑張れ!
いずれにしろ、専用機器(Bruce Key)ならば簡単に登録もできますし賢い選択に思います!
私は現在Nexus7→車内おきっぱが多いし携帯に変更→Bruce Keyにしようかな…という状況です。
最初からBruce Keyを選んでおけば良かったといまさら悔いる情弱です。
◆ゆきのさん
コメントありがとうございます。
解決済みとのことですが、大変な経験をなされましたね。心中お察しします。
ゆきのさんが被害に遭われた当時と現在は大きく状況が変わって(OTP導入)おり、
その時点での被害に自己責任論をおっかぶせてくる人は頭おかしい気にしないでいいと思いますヨ!
同時に、被害に遭っていない・被害に遭う想像がつかない方も少なからずいるわけで、
そのような方に「設定しないと大変なことになるで」といいたかったのですが、
文章が稚拙でいかんともしがたいね、しかたないね。
他サイトさんは「気をつけよう!こうやって設定しよう!」という優しい路線が多く感じましたので
「SEGAはこういう理由で対応せんつもりなんやで(ゲス顔」という脅し路線でいってみました。
でもそれすら伝わらなかったね、しかたないね。
被害に遭われた一人として、ゆきのさんは身をもって痛感されているかと思いますが、
(幸運にも)被害に遭っていない人間は、いまいち対応が鈍いことはよくあります。
そのような方にも、一人でも多くの方に導入して貰えるように、
このようなブログや掲示板上だけでなく、ゲーム内でも
OTP使ってる?設定した?というコミュニケーションが増えていけれ、素敵ですよね。
2013/08/08(木) 21:56:39 |URL|松乃雪 #- [EDIT]
返信ありがとうございました。
未成年なので親にBruch key買ってと言った
ところで詰むからスマホ版にしておきます
´p`ダウンロードデキレバ
2013/08/08(木) 23:41:36 |URL|名無乃権兵衛 #- [EDIT]
◆ななし壱号さん
コメントありがとうございます。
そうでしたか、そういった環境面でも困難はあるのですね…。
ですがここで「ネット上に潜む危険」と「それの対策」をご両親に説明することができれば
「あらまぁしっかり成長しているのね!わかったわいいでしょう!」となる可能性も
…なきにしもあらず、ですよ!
2013/08/09(金) 22:03:26 |URL|松乃雪 #- [EDIT]
PSO2esのCBTに当選して喜びの余り思わず自室でメシアタイムしそうになったぷりにぃです。壁にデッドアプローチで我慢しておきました。
各所の掲示板でも「垢ハックされたお…OTP設定してないお…引退するお…」というレスが結構目立っていますね。
かく言う自分は既に導入してから2ヶ月くらい経ちます。ログインの時にスマホ開いて数字6桁入れるだけでアカウントの安全が買えるなら至極安い買い物ですよ。
ものはついでと言うことで、OTP導入の際にメアドとパスワードまで変更して強固な守りを敷いています。余裕がある人はここまでやっておくと良いかもです。人によっては更に独自ドメインまで取得して鉄壁の防御を保持しているプロアークスもいるとか。
自宅の鍵を自分でかけるように、自分のアカウントは自分の手で守るものです。
胸糞悪いこと極まりないアカウントハックの被害者が少しでも減ることを願って。
2013/08/10(土) 13:48:57 |URL|ぷりにぃ #rzVhfMJo [EDIT]
いままでなんとなく導入しないでいたのですがこの記事を読んでぽちっと購入、導入してきました。
なんとなく入れてないかたが、なんとなく入れてくれますように。
2013/08/10(土) 16:53:36 |URL|ほたて #- [EDIT]
◆ぷりにぃさん
コメントありがとうございます。
IDやパスワードを不規則文字列に変えるのも有効ですよね。
(OTP実装まではそうするしかセキュリティレベルを上げる手立てがなかったのもアレですが)
意味をもたない不規則な文字列のパスワードも覚えてしまえば大差ないとはいえ、
その覚えるまでの手間と、OTPがあることによる保障やそもそもの確率などを踏まえて
さらなる防備をするかはその人次第、といえそうです。
といっても、それはすべてOTPを導入するという大前提ありき。
自衛のために一人でも多くの方に導入していただきたいですね。
◆ほたてさん
コメントありがとうございます。
この記事が、その踏ん切りに一押しでも役に立ったのであれば、とてもうれしいです。
なんとなく不安を煽ろうとしたこの記事もちょっとは意味があったのかしら!
2013/08/11(日) 22:15:46 |URL|松乃雪 #- [EDIT]
ワンタイムって面倒臭そうって思ってましたが
こちらの記事を見て購入し導入、その後は価格以上の安心さにつつまれて
レア潜りしております、分りやすい記事を書いてくれてありがとう!!
2013/08/13(火) 12:28:53 |URL|アロー #BWRIIjF6 [EDIT]
◆アローさん
コメントありがとうございます。
お役に立てたようで何よりです!
分かりやすく書こうとしてなんか話があっちこっちにいった感が否めませんでしたが
一人の方に伝わり、OTPの導入の足がかりとなったのであればこの記事も意味があるというものです。
今後は、PSO2のみならず多くのゲームで「OTPの設定・ログインが面倒」ではなく
「OTPはあって当然」という風潮になればいい…かな?と思う松乃雪でした。
2013/08/13(火) 19:53:31 |URL|松乃雪 #- [EDIT]
アークスグランプリ優勝チームが垢ハックされてしまわれたので少し書き込みします。OTPとvitaの話題を書かせて頂きます。
vitaは本体認証な為、初回パスを入れれば今後はOTP含めスキップという仕組みなので困ったものです。この仕組みでパスワードやセキュリティに対する観念や危機感が薄れてしまうのではないかと危惧しています。更にvita専の方はPC側にPSO2を入れていない人も多く居る事、そして多くは携帯ゲームと同じ感覚でしている事も考えられます。故に認知以前のケースも多々見られます。現に私のvitaフレは、OTPが面倒以前に存在すら知らずにいつの間にかハックされてました。(本体認証なのでハックされてパスを変えられてもログイン可能)
私が考えるにvita専の方をまず何とかしないといけないと思うんですよ。何せロックのかけられるPC側からOTPするという事を思い付けない構造していますので。
長ったらしいので纏めると vita専の人、狙われ放題だと言う事です。
2013/08/14(水) 20:59:36 |URL|通りすがりのベーリロスマン #- [EDIT]
つまりvita専はどうすべきでしょうか?
自分なりに調べてもよく分からず、できましたらアドバイスをいただきたいです。
とりあえずOTPはPCであれvitaであれ入れるべきなんですよね。
2013/08/14(水) 21:20:16 |URL|マリンカ #- [EDIT]
◆通りすがりのベーリロスマンさん
コメントありがとうございます。
このコメント内で仰られている通り、VITA側はセキュリティ面でPCより危なっかしい部分があります。
実はちょうどVITAでの導入方法について書いているところでして、
今週末頃には公開できるかな…と思っていた矢先にこのニュース。
途中だった部分を書き加え、明日の朝に公開できるよう前倒ししているところです。
突貫工事のため正確な表記でなかったりするかも知れませんので、またご意見を頂ければと思います!
◆マリンカさん
コメントありがとうございます。
VITA専でも導入すべきです!
ただ、VITAはPCと違い、SEGAの怠慢のせいで導入の際に戸惑ってしまいますよね。
そのあたりを含めた記事を作成中ですので、そちらをご覧頂ければと思います。
なるべく事細かに書くつもりですが、逆に分かり辛くなっているかも(白目
最初の入り口こそ取っ掛かりにくいですが、そこさえ超えれば難しいことはありません。
記事をみてわからないことがあれば、またコメントを頂ければと思います。
2013/08/14(水) 23:54:22 |URL|松乃雪 #- [EDIT]
返信ありがとうございます。
やはり私としては運営にはアプリ起動画面にOTPの勧告くらいは載せて欲しいと。要望は送ってるのですが...はい(お察し
それがダメならせめてブラウザ機能が在るのですから、やはり運営にはvitaからでも設定できるようにマニュアルを作って頂きたいですね。
↑のコメの方の様なピンポイントな方も居らっしゃる故、vita編の記事に期待しております。(↑の方、答えになってなくてごめんなさい)
かなり大変な作業だと思います。しかし緊急性は高い話題でもあります。故に焦らず急げの体制での健闘をお祈りします。
2013/08/15(木) 00:59:17 |URL|通りすがりのベーリロスマン #- [EDIT]
◆通りすがりのベーリロスマンさん
コメントありがとうございます。
突貫工事ながら記事をアップしました。どうしても長文になるのを何とかしたい。
そちらの記事でも触れていますが、公式サイトなどの現状を見るに、
「アカウントハックを減らそう!」という本気さを感じられません。
「補填対応が面倒だからエクスキューズ程度にしとけばいいや」と思っているのでは?
なんて勘ぐりそうなくらいに、お粗末な状況ですよね。
しっかり立ち回ればユーザーの評価は上がり、うまくやれば商機にもなるのですから
SEGAさんにはもっと頑張ってもらいたいですね。
2013/08/15(木) 09:24:58 |URL|松乃雪 #- [EDIT]

COMMENT FORM

  • URL:
  • comment:
  • password:
  • secret:
  • 管理者にだけ表示を許可する

TRACK BACK