証券会社のリスクベース認証は滅んでほしい
楽天証券でパスキーのみにしても、結局ログイン時にリスクベースの電話認証が挟まってしまう現状がまとめられていた。 パスキーという強固な鍵を使っているのに、セキュリティ的に劣る電話認証を通過させられる矛盾は何なんだろう。利便性と安全性のバランスとして、事業者側のシステム改修が追いついていないだけなのか、それとも何か捨てきれないリスク要件があるのか気になった。
証券口座にもパスキーが導入されるようになり、これで訳のわからない面倒な独自規格の認証から解放されるかと思いきや、リスクベース認証でメール/電話の追加認証が残っているところが多いと思います。私が使っているものでは楽天証券はパスワードでのログインを塞いでパスキーのみにしてもリスクベースの電話認証が入りますし、SBI証券は現状はリスクベースのメール認証、今後は電話認証に切り替わるそうです。(野村證券は株式の売買自体はやらなくて野村Webローンだけなのでそこまで頻度はないんですが、今のところはパスキーとGoogle Authenticatorだけで電話認証やらされたことはないです)このリスクベース認証、まずセキュリティ的にはパスキー>認証アプリ>SMS/電話認証だと思うのでパスキーでログインしたあとにリスクベースでより弱い電話認証が入る意義があるとは思えないので無意味なことやらされてる感があって