アカウント名:
パスワード:
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
毎回入れるようになるだけだよ。それがみんな面倒だと思ってるから、サーバに残しちゃってるわけで。
分離したデータベースサーバにパスワードとともにクレジットカード番号などを格納しておいて、パスワードとセットでないと、番号を参照できないようにすれば、うまくいくような気がします。
あるいは、クレジットカード番号はフロントエンドのサーバからは設定できても、参照できないようにするか。
いずれにしても、網羅的に20万人分とか抜かれなければ、たまたま、一人だけ、パスワードが当てられて抜かれてもそれは、そのユーザのパスワード管理が悪いか、強度が弱いか、運が悪かったで済む。
こういう大規模な流出を防ぐことは技術的に解決できそうな気がします。
別に大掛かりなシステムを店舗側に求めなくても、カード会社側で、支払先ごとに、別のセキュリティコード(あるいは別のカード番号)を振り出し可能なシステムにして、支払先店名が合致している場合のみ決済が通るようにしておけば、流出起因で別の店舗で不正利用される必要もないし、流出元も特定できるし、同じ店舗で買い物する限りは、再入力する必要もないし、具合がいいと思うのですが。
ちなみに、現行でも、カード会社側の不正利用検出システムは結構、充実しているみたいで、不正利用者がいざ、カード番号を入手した場合も、不正利用検出システムに引っ掛かって承認NGになって使えない場合は多いそうです。
そうですね。クレジットカードに関してはカード会社の対応などにより、だんだんと安全性は高まってきているとは思います。
しかし、その他の個人情報についてはデータベースをうまく分離しないと、網羅的に抜かれるような事件はなくならないのではないかな。以前、女性向けのサイトで本名、体のスリーサイズや電話番号などが抜かれたことがあったような気がします。クレジットカード情報だけが重要な情報ではありません。
スリーサイズや電話番号が知られると、生命や財産の危機になるとか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
いつもこういう話を聞く度に思うのは、クレジットカードなどの情報そのものをインターネットから直接アクセスできないようなところに分離できないか、ということ。
インターネットから分離して、カード番号その他をいれて、例えば、RS-232Cで接続する別のデータベースサーバに問い合わせて、結果のyesかnoかだけ、答えをもらうようなシステム。これならば、クレジットカード番号が網羅的に抜かれることはない。パスワードだって、そのようにすれば、shadowすら抜かれることもない。
Re: (スコア:0)
毎回入れるようになるだけだよ。
それがみんな面倒だと思ってるから、サーバに残しちゃってるわけで。
Re: (スコア:1)
分離したデータベースサーバにパスワードとともにクレジットカード番号などを格納しておいて、パスワードとセットでないと、番号を参照できないようにすれば、うまくいくような気がします。
あるいは、クレジットカード番号はフロントエンドのサーバからは設定できても、参照できないようにするか。
いずれにしても、網羅的に20万人分とか抜かれなければ、たまたま、一人だけ、パスワードが当てられて抜かれてもそれは、そのユーザのパスワード管理が悪いか、強度が弱いか、運が悪かったで済む。
こういう大規模な流出を防ぐことは技術的に解決できそうな気がします。
Re: (スコア:2)
別に大掛かりなシステムを店舗側に求めなくても、カード会社側で、
支払先ごとに、別のセキュリティコード(あるいは別のカード番号)を振り出し可能な
システムにして、支払先店名が合致している場合のみ決済が通るようにしておけば、
流出起因で別の店舗で不正利用される必要もないし、流出元も特定できるし、
同じ店舗で買い物する限りは、再入力する必要もないし、具合がいいと思うのですが。
ちなみに、現行でも、カード会社側の不正利用検出システムは結構、充実しているみたいで、
不正利用者がいざ、カード番号を入手した場合も、不正利用検出システムに引っ掛かって
承認NGになって使えない場合は多いそうです。
Re:クレジットカード情報などをインターネットから分離はできないのか (スコア:1)
そうですね。クレジットカードに関してはカード会社の対応などにより、だんだんと安全性は高まってきているとは思います。
しかし、その他の個人情報についてはデータベースをうまく分離しないと、網羅的に抜かれるような事件はなくならないのではないかな。以前、女性向けのサイトで本名、体のスリーサイズや電話番号などが抜かれたことがあったような気がします。クレジットカード情報だけが重要な情報ではありません。
Re: (スコア:0)
スリーサイズや電話番号が知られると、生命や財産の危機になるとか?