Androidワールドまとめ

GmailがSMS認証を廃止し、QRコード認証に移行するとのニュース。セキュリティ向上を目的とするが、ユーザーからは利便性や代替手段の必要性を求める声も。一部からは、Googleアカウントに電話番号を強制的に紐付ける現状への批判も出ている。

• 1：以下、名無しがお送りします

  速報: Gmail、SMS認証を廃止へ https://www.forbes.com

• 3：以下、名無しがお送りします

  QRコード読み取りでどうやって電話番号認証するんだ？

• 7：以下、名無しがお送りします

  >>3 QRコード自体じゃなくて、読み取った先のURLでしょ

• 11：名無しのA

  QRコードをスマホで読み取る意味が分からん カメラアプリで電話番号認証とか聞いたことねーぞ

• 81：以下、名無しがお送りします

  >>11 Discordのログインと同じ仕組みじゃね？ ただし、ログインしようとしている人以外は、送られてきたQRコードを絶対にスキャンするなよ https://support.discord.com

• 85：以下、名無しがお送りします

  >>11 QRコードをスマホで読み取る意味が分からん → 意味あるから https://en.wikipedia.org

• 13：以下、名無しがお送りします

  >>11 アプリがスマホの「ID情報」にアクセスして電話番号を取得するんじゃね？

• 19：名無しのA

  >>13 それならそう書いとけよ カメラアプリで電話番号認証とか意味不明だわ

• 26：以下、名無しがお送りします

  >>13 Googleのカメラアプリに組み込むか、QRコードスキャン時にイベントをインターセプトするしかないな Android API経由で情報を渡すのが現実的かも

• 35：名無しのB

  >>13 スマホの電話番号を知る必要ないだろ 信頼できるデバイスかどうかを認証すればいいだけじゃね？

• 45：名無しのC

  >>35 Google Authenticatorあるじゃん

• 51：名無しのB

  >>45 AuthenticatorはTOTPだけじゃね？ Microsoft AuthenticatorやOktaみたいなプッシュ通知認証はできないでしょ

• 52：名無しのC

  >>51 Google Play Servicesでプッシュ通知は提供してるけど、サードパーティには開放してない Authenticatorに統合される可能性はある

• 53：名無しのB

  >>52 だから、GoogleはOktaとかMicrosoft Authenticatorの競合を作ろうとしてるんじゃないかって話

• 60：名無しのD

  >>11 スキャンするデバイスでログインしたい場合はどうなるんだ？

• 66：以下、名無しがお送りします

  >>60 Samsung端末なら、写真からスキャンできるぞ

• 70：以下、名無しがお送りします

  >>60 ログインしてないなら、そもそも使えないだろ

• 78：以下、名無しがお送りします

  >>60 昨日、デスクトップChromeでアカウント認証を求められた時に試したわ パスワード入力の代わりにQRコードが表示されて、スマホでスキャンしたら指紋認証になった

• 92：以下、名無しがお送りします

  RCSメッセージングの話は出てこないの？

• 131：以下、名無しがお送りします

  >>92 何について？

• 98：以下、名無しがお送りします

  Googleにとって優先順位が高いのは？

• 105：以下、名無しがお送りします

  >>98 みんなのデータ

• 109：以下、名無しがお送りします

  >>98 データを活用して儲けること

• 114：以下、名無しがお送りします

  >>98 あらゆるアプリにAIをねじ込むこと

• 123：名無しのG

  アメリカではもうちゃんと動いてるぞ

• 135：以下、名無しがお送りします

  Pixelスマホ使ってるけど、SMS認証はグレーアウトされてて、2FAコードはGoogleドライブに保存されてた ワンタイムリカバリーコードがあって助かった

• 143：以下、名無しがお送りします

  >>135 2FAのベストプラクティス: - ローカルに保存して生体認証で保護するか、ハードウェアキーを使う - リカバリーコードは安全な場所に保管 - 可能な限りFOSSソリューションを使う - コードのバックアップを暗号化して保存 - デバイスを切り替える際は、すべてのコードが新しいデバイスに移動したことを確認してから古いデバイスから削除する - Google認証やChromeパスワードマネージャーは使わない - 可能な限り2FAを有効にする - SMS認証はセキュリティ上の問題があるから廃止するのは理解できるけど、Googleのタップして承認する2FAはもっと悪い アカウントセキュリティには、アカウントの所有者であることの証明と、本人であることの証明が必要

• 146：以下、名無しがお送りします

  いいね これで「あなたのコードを教えて」詐欺を防げるな

• 153：以下、名無しがお送りします

  Forbes以外の情報源はないの？

• 157：名無しのD

  >>153 この記事は独占記事だから、Forbesからの二次的なコピーはあるかもしれないけど、オリジナルソースとしては他にない

• 162：以下、名無しがお送りします

  バックアップコードは2FA設定時に保存しておくべき SMS 2FAはセキュリティ的に脆弱だから、ちゃんとした認証アプリに置き換えるべき Googleのエコシステムにどっぷり浸かってるなら、AuthenticatorアプリもGoogleアカウントに紐付いてる

• 167：以下、名無しがお送りします

  パスワードはいつまで使えるんだろうな もう50年も使われてるのに

• 174：名無しのE

  >>167 パスキーですべてのパスワードを置き換えるのは危険 泥棒はPINコードを聞き出すことを知ってるから、パスキーによってスマホのすべての情報にアクセスできるようになる

• 175：名無しのF

  よっしゃ SMS 2FAはマジで危険だからな

• 184：名無しのE

  >>175 選択肢があるのは別に危険じゃないだろ 完全になくすのはユーザーにダメージを与える

• 186：名無しのF

  >>184 選択肢があること自体が危険なんだよ セキュリティは一番弱い部分で決まる SMS 2FAは常に一番弱い部分だった https://www.vice.com

• 187：以下、名無しがお送りします

  マジ勘弁… 一般人は認証アプリの使い方なんて知らないって

• 195：以下、名無しがお送りします

  このクソみたいな2FA方式を廃止するのは大賛成 時間ベースのワンタイムパスワードは引き続きサポートしてほしい デバイス間で簡単に共有できるから

• 203：以下、名無しがお送りします

  ふざけんな 職場はSCIFでスマホ禁止なのに、SMSならロッカーまで走って確認できたのに QRコードなんてスキャンできる状況なんて絶対にない

• 205：以下、名無しがお送りします

  >>203 YubiKeyを提供してもらうべき

• 210：以下、名無しがお送りします

  >>205 SCIFでUSBキーを挿すのは怪しまれる CACカードを持ってるんだから、それと紐付けるべき

• 212：以下、名無しがお送りします

  >>210 CACに何か紐付ける方が怪しまれるだろ

• 221：以下、名無しがお送りします

  これでアカウントを失う人が続出するぞ パスワードを忘れる バックアップのHotmailは5年もログインしてないから削除されてる リカバリーコードを保存してないか、どこにあるか分からない 銀行とか他のサービスみたいにSMSで認証できると思ってるだろうけど、できない

• 231：名無しのE

  最高 これでGoogleアカウントを使うために電話番号を強制的に認証させるのはやめるんだろ？ そんなの違法にすべき パスキーもやめろ 都市部に住んでる人には危険だ 義理の兄弟が銃で脅されてスマホのパスコードを教えさせられ、パスキーのおかげで泥棒はすべてのアカウントにアクセスできた

• 234：名無しのG

  RCSを使えばいいだけ