アカウント名:
パスワード:
そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。
ですよねー…。ReadOnlyのトークン 的なものだったらまだしも、お金関係で 全アクセス可能なパス とか、セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。
今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし
みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。
オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。
毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.91791510399 と、90パーセント以上の確率で何れかのアカウントでの不正送金が成功してしまいます。
(実際には、時刻ベースのワンタイムパスワードは30秒更新なことが多いため、同一のアカウントに対しては完全な乱数ではなく過去の試行とは別の数字にし、30秒以内に新しい数字を試すことで、更に確率を高められます)
なお、多段階認証の一環として、普段と違う環境(ISP、Cookie、UserAgentなどで判定)からのログインの際に追加認証として秘密の質問への回答を要求する金融機関も増えてきていますが、家計簿Webアプリもそれらの情報の登録を要求しているため、一緒に漏えいすれば同じことです。
# みずほ銀行は、残高照会・入出金明細照会等専用のアカウントを、普通のインターネットバンキングのアカウントとは別に発行できる [mizuhobank.co.jp] るので、家計簿アプリも安全に使用できます。トランザクション認証への対応と、Webサイト全体の常時HTTPS(TLS)化もしていることから、邦銀の中では最高レベルのセキュリティだと思います。
みずほに限定しなくても他行でも、機能限定のオンラインバンキングサービスは昔からやってますよ。SMBC とかだとこちら [smbc.co.jp]
セキュリティやオンライン関連に関して、みずほは1年から2年出遅れてることが多いんですけどね。
三井住友は、トランザクション認証対応してないし、インターネットバンキングのパスワードも8文字まで(数年前までは数字4桁)と最低だった
法人向けは画像読み取り装置付きトランザクション認証が当たり前になってきたけど一般個人向けでトークン型のトランザクション認証やってるのは今でもみずほだけ
過去はどうあれ、今はセキュリティで選ぶなら、メガバンクではみずほに一択ネット専業を入れるなら住信のスマホアプリで取引承認する仕組みももなかなか良い
みずほ銀行でも流出件数が多けりゃ不正送金できる率上がるから同じよ全件アタックされて数件しか不正送金成功しないなら十分
パスワードの桁数なんかよりも、アタックされてることを検出できる体制にしているか、検出されたときどうするかの方が重要今の銀行はセキュリティ名目でユーザーに不便を強いる方向にしか動いてなく、実際のセキュリティ意識は残念ながらどこも低いと思う
何かよく判らないが、振り込め詐欺より遥かに困難なことは理解した
HTTPSをブロックしていた [security.srad.jp]割にはしっかりとした対応なんですね。
みずほ銀行は、
と迷走を続けていました。
推測ですが、
などの理由で、銀行内で意見対立が生じるなどして、迷走してしまったのではないでしょうか。
新しい告知文章 [mizuhobank.co.jp]には、
常時SSL化とは、ウェブサイトのすべてのページをhttps化(通信の暗号化)するセキュリティ手法のことで、みなさまに安心してご利用いただけるホームページの実現を目指します。なお、常時SSL化するに際しては、サーバ証明書は「SHA–2」方式、通信プロトコルはSSL3.0を廃止しTLS1.0以上となりますので、以下に記載のご利用いただけない環境でご利用の場合は、当行ホームページをご利用いただけない可能性がございますので、バージョンアップ等のご対応をお願いいたします。(以下、「常時SSL化によりご利用いただけない環境」を列挙) 当行ホームページのご利用にあたっては、OS(オペレーティングシステム)がWindows系の場合には、Internet Explorer 11、Firefox 最新版、Google Chrome 最新版を、OSがMac OS Xの場合には、Firefox 最新版またはSafari 最新版をご利用いただくことを推奨します。(強調は引用者)
常時SSL化とは、ウェブサイトのすべてのページをhttps化(通信の暗号化)するセキュリティ手法のことで、みなさまに安心してご利用いただけるホームページの実現を目指します。
なお、常時SSL化するに際しては、サーバ証明書は「SHA–2」方式、通信プロトコルはSSL3.0を廃止しTLS1.0以上となりますので、以下に記載のご利用いただけない環境でご利用の場合は、当行ホームページをご利用いただけない可能性がございますので、バージョンアップ等のご対応をお願いいたします。
(以下、「常時SSL化によりご利用いただけない環境」を列挙)
当行ホームページのご利用にあたっては、OS(オペレーティングシステム)がWindows系の場合には、Internet Explorer 11、Firefox 最新版、Google Chrome 最新版を、OSがMac OS Xの場合には、Firefox 最新版またはSafari 最新版をご利用いただくことを推奨します。(強調は引用者)
と、SHA-1 だけでなく SSL3.0 もはっきり切り捨てる旨が書かれており、また三井住友銀行や三菱東京UFJ銀行が IE をのみを動作確認環境としている中、Firefox・Google Chrome・Safari、しかも「最新版」と明記した上で推奨している点も評価できると思います。
(SSL 3.0 を廃止しているのに「常時TLS化」や「常時HTTPS化」ではなく、「常時SSL化」と表記している点には違和感を覚えますが……)
過去の迷走は酷かったけど、今現在のセキュリティ面での対応は素晴らしい と思います。
それはワンタイムパスワードの確認をスキップしてるのではなくワンタイムパスワードの入力の手間をスキップしてるだけのタイプかもしくは、アプリ利用開始時に利用登録として口座契約登録の電話番号などで本人確認をして利用のスマホの電話番号や固有番号と口座契約者を紐付けして信用担保にしてるのではないでしょうかどちらにしろいきなり他のスマホでログインして振り込みはすんなり出来ないと思いますよ
わざわざ多段階認証にしているのに、自分から穴を開いていくスタイルですね。
OAuthとか実装するのは金融機関の人たちにはハードル高いだろうし、2段階認証によくあるアプリパスワードを発行する形の方が実装しやすいと思うけどな。情弱利用者にとっても、OAuthみたいにあっち行ってこっち行って、とかいうのはわかりにくいし、下手するとフィッシングにかかりやすい。公式サイトでパスワードを発行させて、それでログインしてね、の方がわかりやすい。
まぁ日本の大企業や金融機関は超保守的でアプリやサービスのUIもクソだし最低限のことしかできないし、期待はしてない。とりあえず、モバイルアプリがどこもほぼ例外なくクソなのはなんでなんだろう。iOSで言えば、スワイプで戻る、に対応してないのが基本。左上の戻るボタンでしか戻れないとかクソすぎる。それから、ログインの時のパスワードをペーストできないところもいくつかある。パスワード管理アプリ使ってると詰む。UXって何も考えてないよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
無駄 (スコア:1)
そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。
Re:無駄 (スコア:2)
ですよねー…。
ReadOnlyのトークン 的なものだったらまだしも、
お金関係で 全アクセス可能なパス とか、
セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。
Re:無駄 (スコア:1)
今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...
ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし
6桁のワンタイムパスワードじゃあ、リバースブルートフォース攻撃を防げない (スコア:3)
みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。
オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。
毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.91791510399 と、90パーセント以上の確率で何れかのアカウントでの不正送金が成功してしまいます。
(実際には、時刻ベースのワンタイムパスワードは30秒更新なことが多いため、同一のアカウントに対しては完全な乱数ではなく過去の試行とは別の数字にし、30秒以内に新しい数字を試すことで、更に確率を高められます)
なお、多段階認証の一環として、普段と違う環境(ISP、Cookie、UserAgentなどで判定)からのログインの際に追加認証として秘密の質問への回答を要求する金融機関も増えてきていますが、家計簿Webアプリもそれらの情報の登録を要求しているため、一緒に漏えいすれば同じことです。
# みずほ銀行は、残高照会・入出金明細照会等専用のアカウントを、普通のインターネットバンキングのアカウントとは別に発行できる [mizuhobank.co.jp] るので、家計簿アプリも安全に使用できます。トランザクション認証への対応と、Webサイト全体の常時HTTPS(TLS)化もしていることから、邦銀の中では最高レベルのセキュリティだと思います。
Re: (スコア:0)
みずほに限定しなくても他行でも、機能限定のオンラインバンキングサービスは昔からやってますよ。
SMBC とかだとこちら [smbc.co.jp]
セキュリティやオンライン関連に関して、みずほは1年から2年出遅れてることが多いんですけどね。
Re: (スコア:0)
三井住友は、トランザクション認証対応してないし、
インターネットバンキングのパスワードも8文字まで(数年前までは数字4桁)と最低だった
法人向けは画像読み取り装置付きトランザクション認証が当たり前になってきたけど
一般個人向けでトークン型のトランザクション認証やってるのは今でもみずほだけ
過去はどうあれ、今はセキュリティで選ぶなら、メガバンクではみずほに一択
ネット専業を入れるなら住信のスマホアプリで取引承認する仕組みももなかなか良い
Re: (スコア:0)
みずほ銀行でも流出件数が多けりゃ不正送金できる率上がるから同じよ
全件アタックされて数件しか不正送金成功しないなら十分
パスワードの桁数なんかよりも、アタックされてることを検出できる体制にしているか、検出されたときどうするかの方が重要
今の銀行はセキュリティ名目でユーザーに不便を強いる方向にしか動いてなく、実際のセキュリティ意識は残念ながらどこも低いと思う
Re: (スコア:0)
何かよく判らないが、振り込め詐欺より遥かに困難なことは理解した
Re: (スコア:0)
HTTPSをブロックしていた [security.srad.jp]割にはしっかりとした対応なんですね。
HTTPSをブロック → ブロック解除 → 再度ブロック → 「常時SSL化」 を公式発表 (スコア:4, 興味深い)
みずほ銀行は、
と迷走を続けていました。
推測ですが、
などの理由で、銀行内で意見対立が生じるなどして、迷走してしまったのではないでしょうか。
新しい告知文章 [mizuhobank.co.jp]には、
と、SHA-1 だけでなく SSL3.0 もはっきり切り捨てる旨が書かれており、また三井住友銀行や三菱東京UFJ銀行が IE をのみを動作確認環境としている中、Firefox・Google Chrome・Safari、しかも「最新版」と明記した上で推奨している点も評価できると思います。
(SSL 3.0 を廃止しているのに「常時TLS化」や「常時HTTPS化」ではなく、「常時SSL化」と表記している点には違和感を覚えますが……)
過去の迷走は酷かったけど、今現在のセキュリティ面での対応は素晴らしい と思います。
Re:無駄 (スコア:1)
スマホのアプリから振り込んだら、パスワードいらんかったです。
Re: (スコア:0)
それはワンタイムパスワードの確認をスキップしてるのではなく
ワンタイムパスワードの入力の手間をスキップしてるだけのタイプか
もしくは、アプリ利用開始時に利用登録として口座契約登録の電話番号などで本人確認をして
利用のスマホの電話番号や固有番号と口座契約者を紐付けして信用担保にしてるのではないでしょうか
どちらにしろいきなり他のスマホでログインして振り込みはすんなり出来ないと思いますよ
Re: (スコア:0)
わざわざ多段階認証にしているのに、自分から穴を開いていくスタイルですね。
Re: (スコア:0)
OAuthとか実装するのは金融機関の人たちにはハードル高いだろうし、
2段階認証によくあるアプリパスワードを発行する形の方が実装しやすいと思うけどな。
情弱利用者にとっても、OAuthみたいにあっち行ってこっち行って、とかいうのはわかりにくいし、
下手するとフィッシングにかかりやすい。
公式サイトでパスワードを発行させて、それでログインしてね、の方がわかりやすい。
まぁ日本の大企業や金融機関は超保守的でアプリやサービスのUIもクソだし最低限のことしかできないし、期待はしてない。
とりあえず、モバイルアプリがどこもほぼ例外なくクソなのはなんでなんだろう。iOSで言えば、スワイプで戻る、に対応してないのが基本。
左上の戻るボタンでしか戻れないとかクソすぎる。
それから、ログインの時のパスワードをペーストできないところもいくつかある。パスワード管理アプリ使ってると詰む。
UXって何も考えてないよね。