アカウント名:
パスワード:
そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。
ですよねー…。ReadOnlyのトークン 的なものだったらまだしも、お金関係で 全アクセス可能なパス とか、セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。
今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし
みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。
オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。
毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.9179151
みずほ銀行でも流出件数が多けりゃ不正送金できる率上がるから同じよ全件アタックされて数件しか不正送金成功しないなら十分
パスワードの桁数なんかよりも、アタックされてることを検出できる体制にしているか、検出されたときどうするかの方が重要今の銀行はセキュリティ名目でユーザーに不便を強いる方向にしか動いてなく、実際のセキュリティ意識は残念ながらどこも低いと思う
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
無駄 (スコア:1)
そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。
Re: (スコア:2)
ですよねー…。
ReadOnlyのトークン 的なものだったらまだしも、
お金関係で 全アクセス可能なパス とか、
セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。
Re: (スコア:1)
今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...
ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし
6桁のワンタイムパスワードじゃあ、リバースブルートフォース攻撃を防げない (スコア:3)
みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。
オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。
毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.9179151
Re:6桁のワンタイムパスワードじゃあ、リバースブルートフォース攻撃を防げない (スコア:0)
みずほ銀行でも流出件数が多けりゃ不正送金できる率上がるから同じよ
全件アタックされて数件しか不正送金成功しないなら十分
パスワードの桁数なんかよりも、アタックされてることを検出できる体制にしているか、検出されたときどうするかの方が重要
今の銀行はセキュリティ名目でユーザーに不便を強いる方向にしか動いてなく、実際のセキュリティ意識は残念ながらどこも低いと思う