web-dev-qa-db-ja.com

なぜWebサービスが私の電話番号を尋ね続けるのですか?

彼らは自分の安全のためであり、電話番号とリンクすると、どういうわけか私のアカウントはより「安全」になると言いますが、理由がわかりません-彼らはすでにパスワードをリセットできる私の電子メールアドレスを持っています。また、電話番号をWebサービスに提供すると、プライバシーにどのような影響がありますか?彼らはそれを何に使うことができますか?

言い換えれば、私は何を得るのですか、そしてサービスプロバイダーは私の電話番号を私のアカウントにリンクすることから何を得るのですか?

web-applicationprivacy
7
Dunno

EDIT:これはまだ受け入れられている回答であるため、番号を作成しました「なぜ」はまだ「多要素認証の可能性がある」のですが、この方法は信頼できないことを明確にするために、以下のテキストに変更を加えました。

電話番号を使用すると、パスワードのリセットやその他の重要なアクションなどの2要素認証を簡単に設定できます。電話またはテキストメッセージを送信することにより、サービスは電話[番号]への[アクセス]があなたが持っているものであることを確認できます。電子メールアカウントは実際には単なる知っていることであり、パスワードと同じです。これは、パスワード(および識別子(この場合はアドレス自体)以外はなくても識別子にアクセスできるためです)一般にパブリックと見なされます)。したがって、2要素のパスワードリセットフローは次のようになります。

  1. ログイン時に「パスワードを忘れた」をクリックしてください。
  2. メールアドレスを入力すると、サイトからパスワードリセットリンクが送信されます。
  3. パスワードのリセットリンク(シークレットトークンが含まれています)を開きます。これにより、電子メールアカウントのパスワードがあなたのパスワードであることが証明されますknow.
  4. サービスから短いシークレットコードが記載されたテキストメッセージが送信されます(電話番号を確認した後など)。
  5. あなたはメッセージからコードを入力して、あなたの電話があなたが持っているであることを証明します。
  6. 2要素認証が完了すると、新しいパスワードの設定、サイトへのログインなどができるようになります。

サービスプロバイダーの利点は、顧客サービス時間を費やす必要性がはるかに少なくなり、顧客の善意が「パスワードを思い出せない」と「誰かがアカウントをハッキングした」という境界線をたどる可能性が低くなることです。この種のことは大きなコストシンクになる可能性があり、サイトに機密情報が含まれている場合、それらが十分に偏執的でないと、サイトに評判上の害を及ぼす可能性があります。

残念ながら、携帯電話番号の乗っ取りはそれほど難しくありません。 SMS送信される)を捕捉するために技術的な攻撃(偽のセルタワーや電話のなりすまし、または無線トラフィックの受動的な傍受)を傍受しても、電話会社は信頼できないことを実証しています番号で新しいSIMを発行する前に、ユーザーを正しく認証します。そのため、SMSまたは通話ベースの第2要素は、弱い追加の保護と見なされるべきであり、間違いなく単一要素認証では信頼されません。

プロバイダーが番号で何ができるかについては、まあ、最悪のケースはおそらくそれをスパムに相当する電話であるロボコーラーに渡すか売ることです。このような方法で携帯電話に電話をかけることは、米国では実際には違法です(私たちは、受信者がプリペイドクレジットまたは使用時間のいずれかを介して着信通話に対して支払う唯一の場所であるため、既存のビジネスのない商業メッセージ関係は禁止されています)が、とにかく起こります。ただし、現実的には、大ざっぱなサイトを除いて、このようなことはほとんどありません(もちろん、プライバシーポリシーを確認してください。もちろん、それが嘘ではないという保証はありません)。

2番目に悪いことは、それを使用して迷惑な電話やメッセージを送信することですが、これが発生するのを見たことはないと思います(「マーケティングやプロモーションに連絡先情報を使用する」オプションを確認してください)。選択されていないことを確認してください)。

理論的には、電話番号は個人を特定するのに役立ちます(ディレクトリサービス、ソーシャルネットワーク、電話帳など)。使い捨ての電話番号よりも使い捨てのメールアドレスを作成する方がはるかに簡単です。しかし、それはありそうもないことです。あなたが何かにサインアップするときに偽の名前と使い捨てのメールアドレスを使用する種類の人なら、そこにあなたの本当の電話番号を置くことは明らかにリスクです。そうでなければ、それはおそらくかなり無害です。

8
CBHacking

それは 2要素認証 で2番目の要素(あなたが持っているもの)を取得する最も簡単な方法だからです。これがどのように機能するかは、CBHackingの回答でかなりよく説明されました。しかしながら...

2要素認証に電話を使用するのは悪い考えです

電話の問題は、ハッカーがテレコムのカスタマーサービス部門を介してソーシャルエンジニアリングを行い、電話番号を電話番号に移植して、電話を使用してアカウントのパスワードをリセットするのが驚くほど簡単であることです。

コンピュータに精通しているかどうかは関係ありません。 暗号通貨空間の人々がハッキングされています このように:

過去1か月間に、暗号通貨シーンに公的に関与した人々が携帯電話のハイジャックの被害を受けたケースが少なくとも10件ありました。その結果は、費用がかかり、恥ずかしく、永続的であり、少なくとも1つのケースでは、生命を脅かしています。

米国連邦取引委員会は、 電話アカウント乗っ取りの増大する問題 に関する勧告を発表しました。電話番号の乗っ取りについての素人による報道は最近 Forbes などになりました。

可能な限り、電話番号を入力しないでください。2FAの方法としてGoogle認証システムを選択してください。詳細については、こちらをご覧ください 暗号通貨交換クラーケンによる優れたガイド、またはオンラインアカウントを保護する方法

3
Dan Dascalescu

私は、企業がすべてを追跡するために企業が相互に販売する識別子(非社会保障番号)であるという仮説を立てています。これまでのところ、Vanguard、Fidelity、Bank of America、eBay、Amazon、Netflix、Yahoo、Google、LinkedInから質問を受けています。まだまだあると思いますが、忘れてしまいました。 「今すぐしない」オプション(「いいえ、私を放っておいて、二度と尋ねない」オプションではない)で同じように尋ねるので、集中化される可能性があります。私の精神病の側面は、あなたとあなたがするすべてを追跡する簡単な方法としてNSAによって運営されていると言います(オンラインの存在とあなたがするすべてを表す単一の番号コードを想像してください!)政府スヌープの場合)私の合理的な側面は、広告主が運営しているということです。それはセキュリティのためだと思いますか?いいえ、セキュリティのためである場合、仮想的に各会社に異なる数を与えることができます(なぜそれが本当でなければならないのですか?とにかく電話できる電話番号、または複数の人が同じ共有番号を使用できますか、または複数のSkype-in​​番号を設定できますか?私は当然のことながら不審な人物であり、ここ数か月間、警報ベルが狂っています。何かまったく正しくありません。

2
Plasko