4Loginには、「総当たり攻撃(ブルートフォースアタック)」に対して強力な「ログインプロテクト」という機能が実装されています。
「ログインプロテクト」とは、通常時は認証を受け付けず、ログイン操作時の60秒間だけ認証を有効にするセキュリティ機能です。
アプリで対象サービスのスロット詳細画面を開くと、自動的にログインプロテクトが解除され、解除中の60秒間は、利用者は普段どおりの操作でログインできます。
時間が経過すると再び認証は無効化されるため、第三者による不正な試行を常時遮断しつつ、必要なときだけ安全にログインできる仕組みです。
利便性を損なわず、不要な認証受付時間を最小限に抑えることで、高いセキュリティを実現します。
ログインプロテクトの仕組み
正しいユーザーが認証を行う際、まず4Loginアプリを起動し、パスワード表示画面を開きます。この「パスワード表示画面を開く」という操作が、「これからパスワードを入力する」という合図となり、ログインプロテクトサーバーへ送信されます。
ログインプロテクトサーバーは、ユーザーごとにログイン受付時間を管理しています。合図を受信すると、4Loginサーバーはその時点から1分間のみログインを待ち受ける状態になります。この制限時間内にユーザーがパスワードを入力した場合のみ、認証が実行されます。
逆に言えば、ログインプロテクトサーバーに合図が送信されていない状態では、4Loginサーバーはパスワードの判定自体を行いません。そのため、正規の操作を行っていない第三者によるパスワード入力は、そもそも受け付けられません。 この仕組みにより、正しいスマートフォンと正しく登録された4Loginアプリを保持している人だけが認証可能となり、「所有していること」を証明する所有者認証の本質を実現しています。
