Facebookにパスワード変えろと言われた

一応、Facebookのアカウントを持っていて、

以前はLINEのアカウント登録に使っていたが、電話番号認証したのでもうその意味もなく、

Instagramを閲覧するのに使っているのがもっとも大きな用途ですかね。

そんなFacebookアカウントについて、偶然Facebookにアクセスしたら、なぜかパスワードの変更をするように言われた。

(偶然というのは、Facebookのページが検索にひっかかってアクセスしたためである)

まさかこんなところでパスワードの変更を求められるとは。

しかも立て続けに2回変更を要求される有様である。


これ、どうもこういう理由らしい。

リクエストしていないのにFacebookパスワードのリセットメールが届いた場合 (Facebook)

少なくとも成功したログインで不審なものはなかったが。

ただ、最近は自宅ではIPv6アドレスでのログインが多いところ、IPv4アドレスでのログインが1件あったので、これを不審とみた可能性はある。

あと、立て続けに2回変更要求されたの2回目は心当たりのないIPアドレスだった。

説明を見る限りはログイン試行の成否は問わずにパスワード変更要求が行くようである。

頻発する場合はOFFにできるようだが。


これは2要素認証を使っているかどうかは関係なさそうだが。

パスワードを変えてあれこれアタックされると突破されかねないが……

という懸念で送っているならば2要素認証を使っている人にそこまでする必要はあるか?

まぁ心配ならば2要素認証を入れればよさそうですが。

Facebookアカウントの重要性が高い場合はやるべきだろうが、

僕の場合、Facebook自体はこれといった重要性はないんだよなぁ。

ただ、Facebookを他のアカウントのログイン手段に使っているのがどうかというのはある。

とはいえ、それも重要度が高いものはあまりないんですよね。


ちょっと気になったのはFacebookのログインIDぐらいですかね。

メールアドレスまたは電話番号またはユーザーネームとなっている。

いずれもわりと公開情報なので他人がログインを試みるのは容易である。

特にログインIDはFacebookのURLに含まれており、一般に公開情報である。

だから他人がログインを試行したからといって、打てる手はないわけである。


これはYahoo!特有の事情もあるのですが。

電話番号がわかるとYahoo!が危ない?

推奨設定であるパスワード無効化をすると、SMSで送られる認証コードをログインに使う。

これを運送業者などを装って巧妙に聞き出すということが問題となったそう。

認証コードはYahoo!以外に入力しないということを徹底すればよいが、錯誤もあると。

この対策の1つとしてシークレットIDという方法があって、これはメールアドレス・電話番号・IDを使ったログインを無効化して、他のIDを使うわけである。

シークレットIDと電話番号などが結びつかない限りはこのようなことはできなくなる。

この対策は一般的ではないが、ある程度の効果はあるとみられる。

欠点はシークレットIDを失念してしまうリスクがあることか。ワークアラウンドはあるけど。