水無月ばけらのえび日記

内外比率

• 内部の利用 …… 93.8%
• 外部からの利用 …… 6.2%
• 外部利用のうち、OAuthとOpenIDは2%。そのほか、古いチケット型の認証の仕組みが残っていて利用されている

パスワード再確認

Yahoo!では、ログイン状態でも再度パスワードを訊くケースがある。

重要情報はログイン直後でないとアクセスできないようになっている。個人情報を閲覧する場合、決済シーンなど。

• パスワード再確認の比率 …… 15.72%

さまざまなニーズ

• さまざまなサービス …… Yahoo! のサービス一覧 (services.yahoo.co.jp)、数えるのに力尽きたがたぶん150くらい

  ※私がカウントしたところでは、2010-05-25現在で157あるようです

• さまざまな端末 …… PC、ケータイ、スマートフォン、テレビ、カーナビ
• さまざまなユーザーエージェント …… Webアプリ、クライアントアプリ、ガジェット

• Yahoo!のサービスと、外部のサービス
• コンシューマと、ビジネスユーザ
• オトナと、子ども。子ども向けのIDが欲しいというニーズがあり、「Yahoo!きっず」というサービスがある

さまざまな認証

• Web
• 内部クライアントアプリケーション向け (Token Login)
• 外部クライアントアプリケーション向け (RawAuth)
• 端末ID認証 (モバイルログイン)

  ※ここで高木さんが来場されているかどうか確認 :-)

• テレビ向け
• Webブラウザ向け
• OpenID
• OAuth
• SSO
• AEAuth (教育機関向け)
• ビジネスID
• きっずID (「IDを入力してね。」のようにやさしい文言。Yahoo!きっずでしかログイン状態にならない)

どれがベストか?

• パスワード再確認画面は何で必要なの? どういうリスクがあるの?
• 多様なニーズに応えながらも、守るべきは守る

ログイン履歴

• 直近60件のログインの履歴を表示。成功も失敗も記録。
• 表示する情報は……どのサービスでログインしたか、ログイン時刻、ログインなのか再確認なのか、成功or失敗、IPアドレス、端末がPCかモバイルか
• 悪いことをしようという人にもこのサービスの存在を知ってもらって、抑止につなげたい

ログインシール

• ログインフォームに、ユーザーが設定したシールを表示する
• フィッシング防止のため

ログインアラート

• ログインするたびにメールが届く
• メールにはURLが書かれており、そのURLにアクセスするとアカウントをロックすることが可能。ログインに心当たりがないときにはロックを。
• ただし強制ログアウトにはならず、現在のセッションは有効。次回ログインからブロックされる。

ログイン3兄弟の課題

• 利用率がイマイチ……。
• 場所が分かりにくい。たとえば、ログインアラートは「Yahoo!トップの右上」→「ガイドページの左下」→「ログインアラート説明ページ」と辿らないと出てこない
• ログイン履歴の利用 = 136万PV/月
• 他の2機能の利用数は非公開 (と言いつつ、利用数のグラフは公開)。シールは利用率が低く、アラートはさらに低い

• 選択式ではなかなか利用者数が増えない
• しかし、全ユーザーに利用を強制するわけにも行かない
• 利便性を保ちつつ全ユーザに適用できる対策はないか?

リスクベース認証

• "Login Risk Manager" という仕組み
• あらかじめユーザーの利用環境、アクティビティの情報を持っておく
• 普段の利用と著しく異なる時間、環境、国からのアクセスは怪しい
• ログインイベントの不審度(リスクレベル)を判定し、レベルによって通知or追加認証orブロックを実施する
• この仕組みであれば、非常時以外は普段と何も変わらない利用ができる