アカウント名:
パスワード:
東京三菱UFJ(の、旧東京三菱系)のオンラインバンキングだと、オンラインで振り込みなどをする場合に、セキュリティカードの数字を聞いてきます。 オンラインバンキングを申し込んだ時に送られてくるプラスチックのカードに、格子状に数字が書いてあり、確認画面で指示された座標(縦軸が数字、横軸がアイウエオとなっていて、「ア-3」みたいな形式)の数字を答える形です。
ところが、聞いてくるのが毎回ランダムなので、実はあまり意味がなかったりします。 というのは、1つの鍵(たとえば「ア-1」の数値)さえ知ってしまえば、あとはオンライン
まさか。成功失敗にかかわらず一度トライするまでは同じ番号を聞いてきますから、元コメントが言うようなリロードの繰り返しで特定の行列が出るまで待つのは不可能です。当然トライに失敗すればロックアウトへのカウントが増えます。
>1万分の1の確率なら1万口座もトライすれば1口座は認証パスしちゃうもの。
なんか違うんでないかい。
完全に偏りがない場合、1万回の試行で1回以上成功する確率は1-0.9999^10000=63%程度ですね。100%にはなりません。5万回近い試行でやっと99%を超える成功率になります。
> ただ、偏りがあるはずなので・・・・・。
暗証番号を1234に固定すれば、暗証番号ランダムより確率アップでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
東京三菱UFJの場合 (スコア:4, 興味深い)
東京三菱UFJ(の、旧東京三菱系)のオンラインバンキングだと、オンラインで振り込みなどをする場合に、セキュリティカードの数字を聞いてきます。
オンラインバンキングを申し込んだ時に送られてくるプラスチックのカードに、格子状に数字が書いてあり、確認画面で指示された座標(縦軸が数字、横軸がアイウエオとなっていて、「ア-3」みたいな形式)の数字を答える形です。
ところが、聞いてくるのが毎回ランダムなので、実はあまり意味がなかったりします。
というのは、1つの鍵(たとえば「ア-1」の数値)さえ知ってしまえば、あとはオンライン
Re: (スコア:0)
あと、あの乱数表って利用者毎に数字の並びはバラバラですよね?
Re: (スコア:1, 参考になる)
まさか。
成功失敗にかかわらず一度トライするまでは同じ番号を聞いてきますから、元コメントが言うようなリロードの繰り返しで特定の行列が出るまで待つのは不可能です。
当然トライに失敗すればロックアウトへのカウントが増えます。
Re: (スコア:0)
認証失敗によるロックアウトが口座ごとの失敗カウンタのみ、というむごい実装だったために、
同一IPアドレスから間髪を入れずに全口座番号を総当たり攻撃かけられてしまった銀行は。
4桁の数字の暗証番号だけじゃダメに決まってるよね。1万分の1の確率なら1万口座もトライすれば1口座は認証パスしちゃうもの。
銀行には1万どころか膨大な口座があるから、数打てばかなり当っちゃうよね。
オフトピだけど (スコア:1)
>1万分の1の確率なら1万口座もトライすれば1口座は認証パスしちゃうもの。
なんか違うんでないかい。
Re: (スコア:1)
暗証番号に偏りがなければ、同一の番号を1万の口座に対して試せば突破できるはず。
さらに、トライする数を増やせば突破できる可能性も増える。
ただ、偏りがあるはずなので・・・・・。
Re:オフトピだけど (スコア:2, 興味深い)
完全に偏りがない場合、1万回の試行で1回以上成功する確率は1-0.9999^10000=63%程度ですね。100%にはなりません。
5万回近い試行でやっと99%を超える成功率になります。
> ただ、偏りがあるはずなので・・・・・。
暗証番号を1234に固定すれば、暗証番号ランダムより確率アップでしょうか。
Re: (スコア:0)