シングルサインオン(SSO)

EVE Onlineの非公式ウェブサイトを訪れると、EVE Onlineのアカウント認証情報を使ってログインするよう促されることがあります。このような場合、アカウントのセキュリティについて心配になると思いますが、サイトがEVE Onlineのシングルサインオン(SSO)を使用している場合があります。SSOはユーザーのアカウント情報を安全にEVE Onlineのログインサーバーに送ることができ、ウェブサイトはプレイヤーが特定のキャラクターを所有しているという認証を受け取ることができるようになります。

CCPの非公式サイトを訪れ、アカウントの認証情報を送るよう促された際に気をつけるべき重要な点がいくつか存在します:

  • ユーザーは、ログイン情報を求めてくるサイトが安全かどうか必ず確認してください。サイトが安全かどうかを見極めるには、本ページ下部の「SSOの安全な使い方」セクションをご覧ください。
  • 本物のSSOを使うと、ウェブサイトはアカウントの認証情報(ユーザー名やパスワード)を見ることができません。SSOはアカウントがキャラクターを所持しているかどうかのみを認証します。
  • ウェブサイトの安全性や信ぴょう性に疑いがある場合、いかなるアカウント情報も入力しないでください。疑わしいサイトは、security@ccpgames.comまでご報告ください。

SSOの詳細については、本記事の下部でご確認いただけます。

SSOとは?

SSO(シングルサインオン)は、別のウェブサイトのユーザー名やパスワードを使い、ウェブサイトやアプリケーションにログインするための方法です。

例えば、https://www.goodreads.comはFacebookやTwitter、Google、Amazonでのログインを求めてきます。これはGoodreads側にとって、登録されたユーザー名やパスワード情報の管理について心配する必要がなくなるというメリットがあります。また、ユーザーにとっては登録や複数のアカウントの名前やパスワードの管理をせずに、ずっと簡単にサイトにログインできるようになる利点もあります。

EVE Onlineの場合、SSOを使うことでEVE SSOを統合したウェブサイトにログインし、特定のキャラクターを認証することができます。サイトにサインインする際、認証するキャラクターを選択することになり、ウェブサイトはEVE SSOを通じ、CCPからキャラクターの所有権の認証を得ることができます。

オリジナルのウェブサイトが入手するのはキャラクター情報のみで、アカウント名やパスワードは共有されません。キャラクターがどのアカウントに属しているかや、同じアカウントの他のキャラクターとの繋がりについても、同様に伝わることはありません。


これがSSOの見た目です:

mceclip0.png

SSOの安全な利用方法

SSOシステムの本質はある種の門番です。私たちの場合、守る対象は仮想IDにアクセスできる人物です。残念ながら、インターネットは利益を手に入れるチャンスを待ち構えている詐欺師があふれており、彼らは利益のためならばどんな手段でも喜んで使います。詐欺師は人々を騙してアカウントの認証情報を差し出させようとしており、そのためにフィッシングや当局やウェブポータルへのなりすましといった社会的、技術的な方法を使います。

とは言え、どうすればSSOを一番安全に使えるのでしょうか?幸いなことに、昨今のツールやテクノロジーは、信頼関係とコミュニケーションの安全性について多くの情報を提供してくれます。この情報を活用することで、私たちは自分が攻撃のターゲットにされているか、されていないかの判断をできます。私たちのSSOの場合は、以下のような見た目になります。

認証情報を入力する前に、正しいウェブリソースへの安全な接続かどうかを確認してください

mceclip1.png

私たちのSSOにおけるドメインとホスト名の組み合わせは、login.eveonline.comただ1つです。また、接続がhttps:(『s』に注意)を使っていることを確認してください。平文や認証がないhttp:接続で認証情報を入力することは絶対に避けてください。

接続がきちんと暗号化されており、認証されていることを確認してください

mceclip2.png

これは、ChromeブラウザのURLバーの左側にある鍵アイコンをクリックした際に表示される認証ダイアログの例です。最新のブラウザはこれと同じ、あるいは類似の簡単な概要を閲覧できるようになっており、SSOの接続の信頼関係と、適用されている暗号化のセキュリティレベルを確認することができます。

証明書の手動確認

mceclip3.png

ウェブリソースとの接続に使用される証明書を手動で認証することで、使用されているドメインとその期限について、証明書の確認を行うことができます。

最後に

上記の推奨事項に従っていただくことで、アカウントの認証情報が盗まれるリスクを減らすことができます。また、私たちのSSOの誤解を招く使用、偽サイト、疑問の余地のある使い方を見かけた場合は、security@ccpgames.comまでご報告ください。

 

この記事は役に立ちましたか?
44人中18人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください