アカウント名:
パスワード:
ここのところ秘密の質問の脆弱性(?)が話題になっているというのに、某オンラインバンキングにログインしたら、新たに秘密の質問と答えを3つ設定せよ[必須]と出ましたよ。ask.fmで訊かれなくても、TwitterやFacebook眺めてれば答えられそうな質問ばかり・・・
どうせ残高0なので、ウソ回答考えるのが面倒で正直に答えちゃいましたが。
多くのWebサービスでは、「秘密の質問」はパスワードを忘れたときの為のもので、
といった組み合わせを入力できれば、パスワードの再設定が可能(アカウントを乗っ取れる)仕組みになっています。そういったところでは推測できない文字列にする [ipa.go.jp]必要があると思います。
しかし、銀行では、そんな間抜けなところは皆無で、「秘密の答え」でパスワードリセットできるところは皆無なはずです。ふつうはログイン時の追加認証 [mizuhobank.co.jp]に使われます。普段は、「お客さま番号」 + 「ログインパスワード」でログインできますが、パソコン(Cookie)やIPアドレス(リモートホスト名)などが普段と異なっていたり、同じIPアドレスから多数のログイン試行があった場合などで、追加で回答が要求されるものです。
ネットバンキングでは、IDの強度が弱い(お客様番号が8桁の数字だったり、銀行によっては口座番号だったり)ところが多いので、脆弱なパスワードを辞書攻撃などで破られにくくするなどが主目的で「秘密の質問」を使っているのだと思います。ソーシャルエンジニアリングでその答えを知ったところで、対応するIDとパスワードが分からなければ何もできないので、「秘密の質問」への答えを正直に登録しても何の問題もないでしょう。辞書攻撃・ブルートフォースアタック対策として、Google や Yahoo! では同じIPアドレスから何度かログインに失敗すると CAPCHA(画像認証)が求められますが、最近はプログラムによるCAPCHAの解析も可能となっているしユーザビリティも最悪なので、CAPCHA ではなく「秘密の答え」を使うオンラインバンキングは素晴らしいシステムであると思います。
また、銀行の「秘密の質問」での追加認証は、IDとパスワードをセットで、メモしたりパソコンにテキストファイルで保存したりする人への対策も兼ねていると思います。従って、銀行などの「追加認証」が目的の「秘密の答え」を、ランダムな英数字にして同様に控えておくのはかえってセキュリティレベルを下げることになります。そういった意味でも、オンラインバンキングの秘密の質問には正直に答える(メモ・記録する必要がない)のが望ましいでしょう。
駄目な客(酷い言い方をすれば馬鹿、問題起きても自業自得な客)のために、まともな客に不便とリスクを強制するのが素晴らしい?しかも問題が起きたときに客に少しでも過失があれば「お前のせいだから知らん」と言う銀行が、だ。
自画自賛もたいがいにしてくれ秘密の質問なんて追加するなら日本語OKなパスワードの追加でもしろよ
さらにアクセス環境(IPアドレスやブラウザ、OS)も一緒かどうかも見ているところもあります。アクセス環境が同じで且つ「秘密の質問」とその答えが同じという状況ってなかなか作れないかと。
パスワードは漏れたら変えられるけど例えば母親の旧姓は今さら変えられないんだよね
変えられますよ。ひらがなにすればいいじゃないですか?パスワードと暗証番号同じにしか出来ないと思ってるのと同じレベル。
ひらがな、カタカナ、漢字、アルファベットたったの4パターンか。漢字の読み方が複数あればちょっとは増えるし混ぜると言う手もあるが
どちらにせよ入力する際に「どのパターンで入力したっけ?」となって結局はどこかにメモ取る人が増えるだろうそういうことを言ってるのでは?
なるほど。確かに困ったことありました。「ー」を入れたかどうかとかね。
なので私はルール決めて入力しておきますけどね。
秘密の質問はランダム文字列でメモも取らない(パスワード忘れたらログインできなくて構わない)運用してるので、事前に用途の通知がないままそれやられると割りと詰む。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
ここのところ (スコア:3, 興味深い)
ここのところ秘密の質問の脆弱性(?)が話題になっているというのに、
某オンラインバンキングにログインしたら、新たに秘密の質問と答えを3つ設定せよ[必須]と出ましたよ。ask.fmで訊かれなくても、TwitterやFacebook眺めてれば答えられそうな質問ばかり・・・
どうせ残高0なので、ウソ回答考えるのが面倒で正直に答えちゃいましたが。
「パスワードリセット」ではなく「追加認証」が目的の「秘密の質問」なら無問題 (スコア:2)
多くのWebサービスでは、「秘密の質問」はパスワードを忘れたときの為のもので、
といった組み合わせを入力できれば、パスワードの再設定が可能(アカウントを乗っ取れる)仕組みになっています。そういったところでは推測できない文字列にする [ipa.go.jp]必要があると思います。
しかし、銀行では、そんな間抜けなところは皆無で、「秘密の答え」でパスワードリセットできるところは皆無なはずです。ふつうはログイン時の追加認証 [mizuhobank.co.jp]に使われます。普段は、「お客さま番号」 + 「ログインパスワード」でログインできますが、パソコン(Cookie)やIPアドレス(リモートホスト名)などが普段と異なっていたり、同じIPアドレスから多数のログイン試行があった場合などで、追加で回答が要求されるものです。
ネットバンキングでは、IDの強度が弱い(お客様番号が8桁の数字だったり、銀行によっては口座番号だったり)ところが多いので、脆弱なパスワードを辞書攻撃などで破られにくくするなどが主目的で「秘密の質問」を使っているのだと思います。ソーシャルエンジニアリングでその答えを知ったところで、対応するIDとパスワードが分からなければ何もできないので、「秘密の質問」への答えを正直に登録しても何の問題もないでしょう。辞書攻撃・ブルートフォースアタック対策として、Google や Yahoo! では同じIPアドレスから何度かログインに失敗すると CAPCHA(画像認証)が求められますが、最近はプログラムによるCAPCHAの解析も可能となっているしユーザビリティも最悪なので、CAPCHA ではなく「秘密の答え」を使うオンラインバンキングは素晴らしいシステムであると思います。
また、銀行の「秘密の質問」での追加認証は、IDとパスワードをセットで、メモしたりパソコンにテキストファイルで保存したりする人への対策も兼ねていると思います。従って、銀行などの「追加認証」が目的の「秘密の答え」を、ランダムな英数字にして同様に控えておくのはかえってセキュリティレベルを下げることになります。そういった意味でも、オンラインバンキングの秘密の質問には正直に答える(メモ・記録する必要がない)のが望ましいでしょう。
Re:「パスワードリセット」ではなく「追加認証」が目的の「秘密の質問」なら無問題 (スコア:1)
駄目な客(酷い言い方をすれば馬鹿、問題起きても自業自得な客)のために、まともな客に不便とリスクを強制するのが素晴らしい?
しかも問題が起きたときに客に少しでも過失があれば「お前のせいだから知らん」と言う銀行が、だ。
自画自賛もたいがいにしてくれ
秘密の質問なんて追加するなら日本語OKなパスワードの追加でもしろよ
Re: (スコア:0)
さらにアクセス環境(IPアドレスやブラウザ、OS)も一緒かどうかも見ているところもあります。
アクセス環境が同じで且つ「秘密の質問」とその答えが同じという状況ってなかなか作れないかと。
Re: (スコア:0)
パスワードは漏れたら変えられるけど例えば母親の旧姓は今さら変えられないんだよね
Re:「パスワードリセット」ではなく「追加認証」が目的の「秘密の質問」なら無問題 (スコア:2)
パスワードは漏れたら変えられるけど例えば母親の旧姓は今さら変えられないんだよね
変えられますよ。ひらがなにすればいいじゃないですか?
パスワードと暗証番号同じにしか出来ないと思ってるのと同じレベル。
Re:「パスワードリセット」ではなく「追加認証」が目的の「秘密の質問」なら無問題 (スコア:1)
ひらがな、カタカナ、漢字、アルファベット
たったの4パターンか。漢字の読み方が複数あればちょっとは増えるし混ぜると言う手もあるが
どちらにせよ入力する際に「どのパターンで入力したっけ?」となって結局はどこかにメモ取る人が増えるだろう
そういうことを言ってるのでは?
Re:「パスワードリセット」ではなく「追加認証」が目的の「秘密の質問」なら無問題 (スコア:2)
なるほど。確かに困ったことありました。
「ー」を入れたかどうかとかね。
なので私はルール決めて入力しておきますけどね。
Re: (スコア:0)
秘密の質問はランダム文字列でメモも取らない(パスワード忘れたらログインできなくて構わない)運用してるので、事前に用途の通知がないままそれやられると割りと詰む。
Re: (スコア:0)