アカウント名:
パスワード:
そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。
ですよねー…。ReadOnlyのトークン 的なものだったらまだしも、お金関係で 全アクセス可能なパス とか、セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。
今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし
みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。
オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。
毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.9179151
みずほに限定しなくても他行でも、機能限定のオンラインバンキングサービスは昔からやってますよ。SMBC とかだとこちら [smbc.co.jp]
セキュリティやオンライン関連に関して、みずほは1年から2年出遅れてることが多いんですけどね。
三井住友は、トランザクション認証対応してないし、インターネットバンキングのパスワードも8文字まで(数年前までは数字4桁)と最低だった
法人向けは画像読み取り装置付きトランザクション認証が当たり前になってきたけど一般個人向けでトークン型のトランザクション認証やってるのは今でもみずほだけ
過去はどうあれ、今はセキュリティで選ぶなら、メガバンクではみずほに一択ネット専業を入れるなら住信のスマホアプリで取引承認する仕組みももなかなか良い
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
無駄 (スコア:1)
そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。
Re: (スコア:2)
ですよねー…。
ReadOnlyのトークン 的なものだったらまだしも、
お金関係で 全アクセス可能なパス とか、
セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。
Re: (スコア:1)
今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...
ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし
6桁のワンタイムパスワードじゃあ、リバースブルートフォース攻撃を防げない (スコア:3)
みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。
オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。
毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.9179151
Re:6桁のワンタイムパスワードじゃあ、リバースブルートフォース攻撃を防げない (スコア:0)
みずほに限定しなくても他行でも、機能限定のオンラインバンキングサービスは昔からやってますよ。
SMBC とかだとこちら [smbc.co.jp]
セキュリティやオンライン関連に関して、みずほは1年から2年出遅れてることが多いんですけどね。
Re: (スコア:0)
三井住友は、トランザクション認証対応してないし、
インターネットバンキングのパスワードも8文字まで(数年前までは数字4桁)と最低だった
法人向けは画像読み取り装置付きトランザクション認証が当たり前になってきたけど
一般個人向けでトークン型のトランザクション認証やってるのは今でもみずほだけ
過去はどうあれ、今はセキュリティで選ぶなら、メガバンクではみずほに一択
ネット専業を入れるなら住信のスマホアプリで取引承認する仕組みももなかなか良い