アカウント名:
パスワード:
どこって、4桁の数字のみではブルートフォース攻撃で現実的な時間に破られるってことでしょう。残高の金額や入出金履歴って相当センシティブな情報だと思いますが、見られてもいいんでしょうか。
また、リンク先にあるように、キャッシュカードと同じ番号にする人が出そうなのも嫌な感じです。この場合、オンラインによる匿名のブルートフォース攻撃でキャッシュカードの暗証番号を入手できることになります。
ワンタイムパスワードはもちろん結構なことですが、だからといって第1パスワードを脆弱にしてよいことはないのでは。
数回間違えるとロックされるので総当りは私ならやらないどこで操作されたかを記録しているし、周辺部分での補強処理ゆえに4桁でも実運用になっているんじゃないかな
下にもあるけど、リバースブルートフォース(パスワードを固定してIDを変えていく)のこと忘れてるから。IP変えながらこいつやられたら、数字4桁じゃ簡単に抜かれてしまう。
SMBCのIDは数字10ケタだっけ?口座数を1000万と仮定すると有効なIDは0.1%。0.01%×0.1%=1/1000万英数8文字のヒット率は(1/66)^8≒1/360兆
相当に差がありますね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
どこがセキュリティ的に脆弱なのか (スコア:1)
セキュリティが高いと考えるので切り替えました。
利用料もみずほなんかと違って無料だし。
脆弱と考える人は、今まで英数字8ケタだったのが4ケタになってしまったので不安に
感じるというだけで、具体的な脆弱性は示されていません。
いやなら、ワンタイムパスワードカードを申し込まなければ従来通りなので、
別にどうってことないと思いますが。
Re: (スコア:0)
どこって、4桁の数字のみではブルートフォース攻撃で現実的な時間に破られるってことでしょう。
残高の金額や入出金履歴って相当センシティブな情報だと思いますが、見られてもいいんでしょうか。
また、リンク先にあるように、キャッシュカードと同じ番号にする人が出そうなのも嫌な感じです。
この場合、オンラインによる匿名のブルートフォース攻撃でキャッシュカードの暗証番号を入手できることになります。
ワンタイムパスワードはもちろん結構なことですが、だからといって第1パスワードを脆弱にしてよいことはないのでは。
Re: (スコア:1)
数回間違えるとロックされるので総当りは私ならやらない
どこで操作されたかを記録しているし、
周辺部分での補強処理ゆえに
4桁でも実運用になっているんじゃないかな
Re: (スコア:1)
3回でロックされるなら試行の足がつく上に、解除がクソ面倒(電話もなかなかつながらないし)。
たまにしかつかわない且つ間違えるとロックされるようなものに複雑なパスワードをを要求すると利便性も運用も面倒になる。
ロックをやめてブルートフォースを許すリスク、別のパスワード流用されてほかで流出したのでログインできてしまうリスクも踏まえるべき。
あとその後の振り込み処理などではあらためてパスワードを聞かれるので4桁ですべてができるわけではないことも重要。
Re: (スコア:1)
下にもあるけど、リバースブルートフォース(パスワードを固定してIDを変えていく)のこと忘れてるから。
IP変えながらこいつやられたら、数字4桁じゃ簡単に抜かれてしまう。
Re: (スコア:0)
ウイルスを埋め込まれたとか、ソーシャルエンジニアリングで盗まれたとかいう事例は聞くけど、
銀行がリバースブルートフォースでやられてという話は聞いたことがない。
簡単にできるのなら、被害例があってよさそうなのに。
Re:どこがセキュリティ的に脆弱なのか (スコア:0)
SMBCのIDは数字10ケタだっけ?
口座数を1000万と仮定すると有効なIDは0.1%。
0.01%×0.1%=1/1000万
英数8文字のヒット率は(1/66)^8≒1/360兆
相当に差がありますね。