パスワードを忘れた? アカウント作成

「ログインしたまま」「ブラウザにパスワードを記憶」を利便性重視と評価、フィッシング対策協議会」記事へのコメント

  • by Anonymous Coward on 2020年09月11日 18時18分 (#3887357)

    ・口座番号 (数字6桁連番 + チェックビット数字1桁)
    ・暗証番号 (数字4桁)

    これだけで口座振替契約を成立させて海外送金(ドコモ口座) [docomokouza.jp]も自由自在

    ここに返信
    • by Anonymous Coward

      めったに使わない口座の暗証番号は故意に3回失敗窓口対応要状態にしとくべきね

      • キャッシュカード作らなければ暗証番号自体が存在しないんでもっと楽。

        • by Anonymous Coward

          ゆうちょとかは通帳自体にもキャッシュカード機能があったかと。
          それにカード自体に暗証番号が入ってたのはごく昔の話で、
          今はサーバ側に登録する仕様だからなしに出来ない銀行もあるんじゃね?

          • by Anonymous Coward

            ゆうちょで通帳使ってATMで引き出し出来るのはキャッシュカードを作ってる場合だけ。
            キャッシュカードがなければ窓口で通帳と印鑑が必要。(それが安全か?は別の問題)

            あと磁気カードでカードに暗証番号を書いてる銀行は30年前から皆無。
            が、ICキャッシュカードではどの銀行もカードに焼いてる上にATMでの対応が進むまでは変更不可だった。
            # その点ではICより磁気の方が安全って状態が結構長かった。
            # 今でもICキャッシュカード+暗証番号での不正引き出しは補償されないので、預金者として考えるとICのメリットは無いに近い。

      • by Anonymous Coward

        多分、キャッシュカードでの引出し処理じゃなくて窓口手続きだから、
        ATMでカードにロック掛かってても暗証番号合ってれば関係なく申請通るんじゃね?

    • by Anonymous Coward

      これってパスワードは口うるさいけどIDはザルっていう良い教訓だよな

      • by Anonymous Coward

        パスワード(暗証番号)が数字4桁の時点でパスワードもザルだから何とも言いがたいな

        • ところが通常は通帳やキャッシュカードの物理媒体やその使用場所の監視カメラ、
          引き落とし申請企業側での本人確認とか書類処理の手間が掛かる事で攻撃が制限できていたので問題なかった。
          ドコモ講座やその他類似サービスはそれを全部撤去したので、
          無防備なID&暗証番号に対しての攻撃が可能となってしまった。

            てか、前にもこの攻撃が発生したのに、その後アカウント作成ハードル下げたって話なんだよなドコモ口座。
          ほんと、何考えてんだ。暗証番号にそんな強度はねぇよ。本人確認はテメェの仕事だよ銀行に投げるな。
          投げるにしても暗証番号のみでOKなところは提携しちゃ駄目だろが。

        • by Anonymous Coward

          仕組みはこんな感じ
          IDザルの話ね

          【ドコモ口座】リバースブルートフォース攻撃のわかりやすい例えが話題に : オタク.com -オタコム- [otakomu.jp]

          ■今回起きたリバースブルートフォース攻撃の例え
          浜辺美波ちゃんのパンツが欲しい!って美波ちゃんのロッカーでダイヤルグルグルするのが
          ブルートフォース攻撃
          今回のは女子ロッカーからパンツ取りたい!って端から0721って番号だけ入れて
          ガチャガチャしてダメなら隣、ってやり方や
          パンツさえもらえれば浜辺美波ちゃんだろうが谷亮子ちゃんだろうがかまわへん、って奴のやり方や

    • by Anonymous Coward

      リバースブルートフォースアタックを防ぐには、パスワードを2つ使うのがいい

      ログインID 大抵はメールアドレス
      パスワード1 ユーザーが設定したパスワード
      パスワード2 サーバーが指定したパスワード(ユーザーによる設定不可)

      パスワード1とパスワード2が両方揃ってはじめてログイン可能

      • by Anonymous Coward

        使用しているパスワードが、推測可能もしくは自分以外の人間も使っていると予想されるほどに一般的な文字列なら、まずはそれを変えるべき。

        そうでなければリバースブルートフォース攻撃の餌食にはならない。

        • by Anonymous Coward

          ドコモ&地銀「4桁の数字ならパスワードとして完璧です」

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...