アカウント名:
パスワード:
そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。
ですよねー…。ReadOnlyのトークン 的なものだったらまだしも、お金関係で 全アクセス可能なパス とか、セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。
今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし
みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。
オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。
毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.9179151
HTTPSをブロックしていた [security.srad.jp]割にはしっかりとした対応なんですね。
みずほ銀行は、
と迷走を続けていました。
推測ですが、
などの理由で、銀行内で意見対立が生じるなどして、迷走してしまったのではないでしょうか。
新しい告知文章 [mizuhobank.co.jp]には、
常時SSL化とは、ウェブサイトのすべてのページをhttps化(通信の暗号化)するセキュリティ手法のことで、みなさまに安心してご利用いただけるホームページの実現を目指します。なお、常時SSL化するに際しては、サーバ証明書は「SHA–2」方式、通信プロトコルはSSL3.0を廃止しTLS1.0以上となりますので、以下に記載のご利用いただけない環境でご利用の場合は、当行ホームページをご利用いただけない可能性がございますので、バージョンアップ等のご対応をお願いいたします。(以下、「常時SSL化によりご利用いただけない環境」を列挙) 当行ホームページのご利用にあたっては、OS(オペレーティングシステム)がWindows系の場合には、Internet Explorer 11、Firefox 最新版、Google Chrome 最新版を、OSがMac OS Xの場合には、Firefox 最新版またはSafari 最新版をご利用いただくことを推奨します。(強調は引用者)
常時SSL化とは、ウェブサイトのすべてのページをhttps化(通信の暗号化)するセキュリティ手法のことで、みなさまに安心してご利用いただけるホームページの実現を目指します。
なお、常時SSL化するに際しては、サーバ証明書は「SHA–2」方式、通信プロトコルはSSL3.0を廃止しTLS1.0以上となりますので、以下に記載のご利用いただけない環境でご利用の場合は、当行ホームページをご利用いただけない可能性がございますので、バージョンアップ等のご対応をお願いいたします。
(以下、「常時SSL化によりご利用いただけない環境」を列挙)
当行ホームページのご利用にあたっては、OS(オペレーティングシステム)がWindows系の場合には、Internet Explorer 11、Firefox 最新版、Google Chrome 最新版を、OSがMac OS Xの場合には、Firefox 最新版またはSafari 最新版をご利用いただくことを推奨します。(強調は引用者)
と、SHA-1 だけでなく SSL3.0 もはっきり切り捨てる旨が書かれており、また三井住友銀行や三菱東京UFJ銀行が IE をのみを動作確認環境としている中、Firefox・Google Chrome・Safari、しかも「最新版」と明記した上で推奨している点も評価できると思います。
(SSL 3.0 を廃止しているのに「常時TLS化」や「常時HTTPS化」ではなく、「常時SSL化」と表記している点には違和感を覚えますが……)
過去の迷走は酷かったけど、今現在のセキュリティ面での対応は素晴らしい と思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
無駄 (スコア:1)
そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。
Re: (スコア:2)
ですよねー…。
ReadOnlyのトークン 的なものだったらまだしも、
お金関係で 全アクセス可能なパス とか、
セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。
Re: (スコア:1)
今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...
ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし
6桁のワンタイムパスワードじゃあ、リバースブルートフォース攻撃を防げない (スコア:3)
みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。
オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。
毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.9179151
Re: (スコア:0)
HTTPSをブロックしていた [security.srad.jp]割にはしっかりとした対応なんですね。
HTTPSをブロック → ブロック解除 → 再度ブロック → 「常時SSL化」 を公式発表 (スコア:4, 興味深い)
みずほ銀行は、
と迷走を続けていました。
推測ですが、
などの理由で、銀行内で意見対立が生じるなどして、迷走してしまったのではないでしょうか。
新しい告知文章 [mizuhobank.co.jp]には、
と、SHA-1 だけでなく SSL3.0 もはっきり切り捨てる旨が書かれており、また三井住友銀行や三菱東京UFJ銀行が IE をのみを動作確認環境としている中、Firefox・Google Chrome・Safari、しかも「最新版」と明記した上で推奨している点も評価できると思います。
(SSL 3.0 を廃止しているのに「常時TLS化」や「常時HTTPS化」ではなく、「常時SSL化」と表記している点には違和感を覚えますが……)
過去の迷走は酷かったけど、今現在のセキュリティ面での対応は素晴らしい と思います。