アカウント名:
パスワード:
そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。
ですよねー…。ReadOnlyのトークン 的なものだったらまだしも、お金関係で 全アクセス可能なパス とか、セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。
今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし
みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。
オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。
毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.9179151
何かよく判らないが、振り込め詐欺より遥かに困難なことは理解した
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
無駄 (スコア:1)
そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。
Re: (スコア:2)
ですよねー…。
ReadOnlyのトークン 的なものだったらまだしも、
お金関係で 全アクセス可能なパス とか、
セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。
Re: (スコア:1)
今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...
ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし
6桁のワンタイムパスワードじゃあ、リバースブルートフォース攻撃を防げない (スコア:3)
みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。
オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。
毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.9179151
Re:6桁のワンタイムパスワードじゃあ、リバースブルートフォース攻撃を防げない (スコア:0)
何かよく判らないが、振り込め詐欺より遥かに困難なことは理解した