解説を読んでも分からないのは残念!
>
dアカウントを不正アクセスから守ろう!(パスワードレス認証設定のお願い)
こんなタイトルのメールがドコモから飛んできた。
パスワードレス認証?
何だろう?
興味深い!
https://id.smt.docomo.ne.jp/src/utility/passwordless.html
説明のページがパスワードレス認証でなくてパスワードレス設定と言うタイトルにしている。言葉遣いが混乱させられる。
パスワードレス認証の設定と言うことならそのように記載すべき。もしくは、せいぜいパスワードレス化設定だろう。
顧客本位でなく、スタッフの用語をそのまま出しているようだ。こういう企業は事故が多くなる。発想の視点が顧客側に十分留意できていない。
>
不正に入手したアカウントとパスワードの組み合わせを変えながら行うリスト攻撃(しらみつぶし型アタック)に対処するために、パスワードを使わない認証を行うもの。
スマホの生体認証(顔、光彩、指紋など)を利用したり、ピンコードによるアンロックを利用して本人確認を行う。
推定すると、サーバー側には、初期設定でアプリから<dアカウント><パスワード><スマホ情報(電話番号?)>が登録され、アプリ利用時には<dアカウント>と<スマホID><スマホ認証クリア>の情報がやり取りされるのだろう。電話番号偽装を防止するために途中でショートメッセージのやり取りに相当するセッションを入れれば不正ログインは回避できる筈。実際にSMSを使った2段階は面倒だからアプリ側で自動化されていれば楽かな。
>