アカウント名:
パスワード:
どこって、4桁の数字のみではブルートフォース攻撃で現実的な時間に破られるってことでしょう。残高の金額や入出金履歴って相当センシティブな情報だと思いますが、見られてもいいんでしょうか。
また、リンク先にあるように、キャッシュカードと同じ番号にする人が出そうなのも嫌な感じです。この場合、オンラインによる匿名のブルートフォース攻撃でキャッシュカードの暗証番号を入手できることになります。
ワンタイムパスワードはもちろん結構なことですが、だからといって第1パスワードを脆弱にしてよいことはないのでは。
数回間違えるとロックされるので総当りは私ならやらないどこで操作されたかを記録しているし、周辺部分での補強処理ゆえに4桁でも実運用になっているんじゃないかな
下にもあるけど、リバースブルートフォース(パスワードを固定してIDを変えていく)のこと忘れてるから。IP変えながらこいつやられたら、数字4桁じゃ簡単に抜かれてしまう。
それでも1/10000よりかはましだと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
どこがセキュリティ的に脆弱なのか (スコア:1)
セキュリティが高いと考えるので切り替えました。
利用料もみずほなんかと違って無料だし。
脆弱と考える人は、今まで英数字8ケタだったのが4ケタになってしまったので不安に
感じるというだけで、具体的な脆弱性は示されていません。
いやなら、ワンタイムパスワードカードを申し込まなければ従来通りなので、
別にどうってことないと思いますが。
Re: (スコア:0)
どこって、4桁の数字のみではブルートフォース攻撃で現実的な時間に破られるってことでしょう。
残高の金額や入出金履歴って相当センシティブな情報だと思いますが、見られてもいいんでしょうか。
また、リンク先にあるように、キャッシュカードと同じ番号にする人が出そうなのも嫌な感じです。
この場合、オンラインによる匿名のブルートフォース攻撃でキャッシュカードの暗証番号を入手できることになります。
ワンタイムパスワードはもちろん結構なことですが、だからといって第1パスワードを脆弱にしてよいことはないのでは。
Re: (スコア:1)
数回間違えるとロックされるので総当りは私ならやらない
どこで操作されたかを記録しているし、
周辺部分での補強処理ゆえに
4桁でも実運用になっているんじゃないかな
Re: (スコア:1)
3回でロックされるなら試行の足がつく上に、解除がクソ面倒(電話もなかなかつながらないし)。
たまにしかつかわない且つ間違えるとロックされるようなものに複雑なパスワードをを要求すると利便性も運用も面倒になる。
ロックをやめてブルートフォースを許すリスク、別のパスワード流用されてほかで流出したのでログインできてしまうリスクも踏まえるべき。
あとその後の振り込み処理などではあらためてパスワードを聞かれるので4桁ですべてができるわけではないことも重要。
Re: (スコア:1)
下にもあるけど、リバースブルートフォース(パスワードを固定してIDを変えていく)のこと忘れてるから。
IP変えながらこいつやられたら、数字4桁じゃ簡単に抜かれてしまう。
Re: (スコア:0)
有りがちなパスワードで実行したら同様な気がします。
三井住友のサイトにそういうアタックを検出する機構があるのかどうか気になるところですが。
Re:どこがセキュリティ的に脆弱なのか (スコア:0)
それでも1/10000よりかはましだと思います。