イオンカードがまたやばい。

イオンカードのサイト、こいつのせいで自動入力が効かねえ… 邪悪だ。 pic.twitter.com/YdS37sobqi

— yasu⋈(HIRATA Yasuyuki)@アスカネット (@hirayasu) 2020年2月29日

見に行ってみた。

うわああ邪悪すぎる。 input[type=url] にして自動入力をオフにしている。

自動入力は「信用できる」

自動入力のほうがずっと信用できる。イオンカードのためにIDを覚えておくほうが不可能に近い。

IDも使いまわしてはいけない。

「パスワードの使いまわし、ダメ絶対」と一人歩きしているが、正しくは「ID/パスワードのペアの使いまわしは駄目」なんですよね。

ID自動入力を認めないと結局はIDも使いまわしされてしまう。

自動入力するひとはそもそも、自動生成もしてる可能性が高いし。ほんとうに何から何を守ってるんでしょうか。

ブラウザの入力履歴が悪とする、邪悪対応

ブラウザには入力履歴があり、入力履歴から自動入力が生成されるわけですが、履歴の自動保存をすると、間違った入力履歴も覚えてしまうのでトラブルのもとであるということでしょうか。

しかし、ここはインターネットです。インターネットではインターネットの流儀に従ってほしい。

謎リスクベース認証イオンカード

IPとCookieでリスクベース認証と謎なことを称するのであれば、ログイン後に閲覧時に追加パスワードを求めたらいい話である。

ログイン時にパスワードを排してメールアドレスだけで認証すればいい話である。

本当に何にコストを掛けているのやら。

そもそもID/PWを抜かれていたら、リスクベース認証もクソもないんですよ。

自動入力は「フィッシング詐欺」に対してとても有効

自動入力を使うと「ドメイン」が一致しないと、パスワードを入力できない。初心者にドメインを覚えろは不可能に近いので、自動入力を覚えろだと、とても有効である。なので、自動入力を封鎖するサイトは滅びていい

フィッシング対策としてとても有効なのです。初心者に「ドメイン覚えろ」なんて口が裂けても言えない。その代わり、「自動入力を使おう、もしパスワードが自動入力できないならそれは詐欺サイト」と呼びかけられる。

フィッシング詐欺サイトで自動入力が効かない例

これは昨日送られてきたAmazonにフィッシング詐欺サイトだけど、ほら自動入力が効かないので、詐欺サイトと気づけるよね？

面倒はモノは使われない。

明細を確認するだけのために、「ワンタイムパスワード」「リスクベース認証」「自動保存入力不可」、どれだけ時間を掛けさせるんですか。無駄である。

しかも自動入力を使わせないのはフィッシング詐欺全盛期のいまは、安全策として最低である。

広告まみれのWEB明細

ログインしても広告まみれのWEB明細確認は、存在する目的を自問してほしいです。

メールアドレスで「認証」をでき、メールアドレスを信用するのであれば、そこあてに明細.pdf を送ってくればいいじゃないか。 PDF閲覧に必要なパスワードをWEBサイトで入手・登録すればいいわけですよ。