ヤフーは2012年5月22日、同社のオンラインサービス「Yahoo!JAPAN」において、ユーザーが自分で設定できるログイン用のID「シークレットID」を導入した。これにより、なりすましによる不正利用の危険性を軽減できるとしている。
ほとんどのWebサービスでは、ログインする際に、ユーザーIDとパスワードを入力する必要がある。ユーザーIDは、アカウント名やメールアドレスといった、公開されている情報であることが多い。
このため攻撃者は、パスワードさえ類推できれば、そのユーザーになりすましてログインすることが可能になる。Yahoo!JAPANも同様で、Yahoo!JAPAN IDやニックネームは、公開情報から特定される恐れがあるとしている。特定されると、ログインに必要な秘密情報は、ユーザーが設定したパスワードだけとなる。
そこで今回、ヤフーでは、なりすまし対策として、ユーザーが設定できるシークレットIDを導入した。シークレットIDを設定すれば、ログインには、シークレットIDとパスワードの2種類の秘密情報が必要となるため、なりすまされる危険性を軽減できる。
シークレットIDを使用するかどうかはユーザーが選択できる。初期設定では無効。シークレットIDを設定すると、Yahoo!JAPAN IDやニックネームではログインできなくなる。ログイン時には、シークレットIDとパスワードを入力することになる。
設定できるシークレットIDの数は、1つのYahoo!JAPAN IDにつき1つ。Yahoo!JAPAN IDあるいはニックネームと同じ文字列は設定できないようになっている。また、Yahoo!JAPAN IDは変更できないが、シークレットIDはユーザーが随時変更できる。
シークレットIDは、「登録情報の確認」ページ中の「ログイン時に使用するIDの設定」などから設定できる。具体的な設定手順などは、同社の公式ブログにまとめられている。