アカウント名:
パスワード:
三菱東京UFJのサイトで事例を確認してみたが、暗証番号を盗むのではない。
ユーザに配布されているパスワード確認時の乱数表を全て入力させるということのようだ。
普通は気付くと思うが、たまにしかログインしない人で何かとリテラシーの低い人は結構引っかかるのかもしれん。
やっぱりワンタイムパスワードを導入するしか解決の道はないわけだな。
三井住友に至っては、ワンタイムパスワードを有償提供などと眠いことをしている子会社のジャパンネット銀行はデフォルトでワンタイムパスワードだというのに・・・。
保険料みたいなものかと。月105円の掛け捨てです。ちなみに、ポイントパックに入っていて、毎月ポイントが貯まるようなことをしていたら、ポイントで使用料を払えます。
Two-factor authenticationにすらなっていない銀行、信用金庫は結構あるので、それに比べると有料でもサービスを提供してくれるだけありがたいとおもいます。三井住友は生体認証、two factor authなど最新のセキュリティ技術を導入した日本で最初のメガバンクだと思うので、そういうところで信頼しています。
ちなみに、三大都市銀行のOTPの価格、対応時期、方式はこんな感じです。三井住友: 費用: 初回 1,050円、105円/月 開始: 2006年2月*1 ハードウェアトークン(RSA,The Security Division of EMC)みずほ: 費用: 2,100円/5年 開始: 2008年03月*2 ハードウェアトークン(VASCO Data Security International) *3東京三菱UFJ: 費用: 0円? 開始: 2012年02月12日 6digitトークンをメール送信*4 (実証実験開始: 2006年春 / キャッシュカード内蔵 *5)
*1 http://www.smbc.co.jp/news/j600034_01.html [smbc.co.jp]*2 http://www.mizuhobank.co.jp/company/release/2008/pdf/news080219_1.pdf [mizuhobank.co.jp]*3 http://itpro.nikkeibp.co.jp/article/NEWS/20070222/263016/ [nikkeibp.co.jp]*4 http://direct.bk.mufg.jp/info_news/20111220_onetimepw/index.html [bk.mufg.jp]*5 http://www.dnp.co.jp/news/1189558_2482.html [dnp.co.jp]
ジャパンネット銀行が無料でハードウェアトークンを配ったのはスパイウェアによる送金問題が取り沙汰されたからかと思います。http://internet.watch.impress.co.jp/cda/news/2005/07/13/8395.html [impress.co.jp]
世の中ある程度の保険料をかけても安全性を保ちたい人はいますよ。生体認証の登録料は昔1,050円かかっていましたが、これだと1日に1,000万円までおろせるようになるので、まぁ、そういうお金を動かしている人が使うものだと思いました。
ジャパンネット銀行って口座維持費はかからないのか?ワンタイムパスワードのトークンを全ユーザに無償で配布するって結構なコストがかかると思うんだが。
http://www.japannetbank.co.jp/information/fee/account.html [japannetbank.co.jp]
廃止したらしいですね、つい最近。きっと従来にもまして本気なんだなあ。
ライバルだった(過去形)イーバンクに一時はネットオークションでの利用率でも逆転されていた(過去形)kけどイーバンクは楽天に買収されて自滅したし。
ジャパンネット銀行のサイトを見ると、トークンにも電池切れ以外に有効期限があるらしい。知らなかった。たぶん暗号強度の問題なんだろうが。
全ての預金者にたいして、数年おきに新しいトークンを物理的に郵送しなければならないわけだ。全てのトークンを口座番号と紐付けしながら。
常識的に考えて、預金者から金を取らないと維持できないだろう。
>たぶん暗号強度の問題なんだろうが。暗号強度というか、所詮疑似乱数を発行しているだけなので、乱数の生成アルゴリズムと種を見破られない程度の期間かなと。
さすがに利用実態の無い顧客には送らない様で。切り替えるから最低額の入金をしてくれと言う督促メールが定期的に送られてきておりますw
>全てのトークンを口座番号と紐付けしながら。紐付けは最初の利用時に行いますね。トークンの発行する番号を何度か入力させて、サーバー側で一致する物を見つけている様な感じでしたね。
(主な目的として)電池切れを起こさないために有効期限を設定しているのです。
銀行は儲かってるよ。年に1000円ぐらいじゃ、全然痛くない。
通帳を発行すると年200円または400円の印紙税を銀行が払わなきゃいけないと聞いたことがあります。通帳も紙の取引明細送付もないインターネット専業銀行ならこのコストがかからないはずなので、トークン発行の費用にまわせるのかもしれませんね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
パスワード確認時の乱数表を全て入力させる (スコア:1)
三菱東京UFJのサイトで事例を確認してみたが、暗証番号を盗むのではない。
ユーザに配布されているパスワード確認時の乱数表を全て入力させるということのようだ。
普通は気付くと思うが、たまにしかログインしない人で何かとリテラシーの低い人は結構引っかかるのかもしれん。
やっぱりワンタイムパスワードを導入するしか解決の道はないわけだな。
Re:パスワード確認時の乱数表を全て入力させる (スコア:0)
三井住友に至っては、ワンタイムパスワードを有償提供などと眠いことをしている
子会社のジャパンネット銀行はデフォルトでワンタイムパスワードだというのに・・・。
Re:パスワード確認時の乱数表を全て入力させる (スコア:3, 参考になる)
保険料みたいなものかと。月105円の掛け捨てです。
ちなみに、ポイントパックに入っていて、毎月ポイントが貯まるようなことをしていたら、ポイントで使用料を払えます。
Two-factor authenticationにすらなっていない銀行、信用金庫は結構あるので、それに比べると有料でもサービスを提供してくれるだけありがたいとおもいます。三井住友は生体認証、two factor authなど最新のセキュリティ技術を導入した日本で最初のメガバンクだと思うので、そういうところで信頼しています。
ちなみに、三大都市銀行のOTPの価格、対応時期、方式はこんな感じです。
三井住友: 費用: 初回 1,050円、105円/月 開始: 2006年2月*1 ハードウェアトークン(RSA,The Security Division of EMC)
みずほ: 費用: 2,100円/5年 開始: 2008年03月*2 ハードウェアトークン(VASCO Data Security International) *3
東京三菱UFJ: 費用: 0円? 開始: 2012年02月12日 6digitトークンをメール送信*4 (実証実験開始: 2006年春 / キャッシュカード内蔵 *5)
*1 http://www.smbc.co.jp/news/j600034_01.html [smbc.co.jp]
*2 http://www.mizuhobank.co.jp/company/release/2008/pdf/news080219_1.pdf [mizuhobank.co.jp]
*3 http://itpro.nikkeibp.co.jp/article/NEWS/20070222/263016/ [nikkeibp.co.jp]
*4 http://direct.bk.mufg.jp/info_news/20111220_onetimepw/index.html [bk.mufg.jp]
*5 http://www.dnp.co.jp/news/1189558_2482.html [dnp.co.jp]
ジャパンネット銀行が無料でハードウェアトークンを配ったのはスパイウェアによる送金問題が取り沙汰されたからかと思います。
http://internet.watch.impress.co.jp/cda/news/2005/07/13/8395.html [impress.co.jp]
世の中ある程度の保険料をかけても安全性を保ちたい人はいますよ。生体認証の登録料は昔1,050円かかっていましたが、これだと1日に1,000万円までおろせるようになるので、まぁ、そういうお金を動かしている人が使うものだと思いました。
Re: (スコア:0)
ジャパンネット銀行って口座維持費はかからないのか?
ワンタイムパスワードのトークンを全ユーザに無償で配布するって結構なコストがかかると思うんだが。
Re:パスワード確認時の乱数表を全て入力させる (スコア:1)
http://www.japannetbank.co.jp/information/fee/account.html [japannetbank.co.jp]
廃止したらしいですね、つい最近。きっと従来にもまして本気なんだなあ。
Re: (スコア:0)
ライバルだった(過去形)イーバンクに一時はネットオークションでの利用率でも逆転されていた(過去形)kけどイーバンクは楽天に買収されて自滅したし。
Re: (スコア:0)
ジャパンネット銀行のサイトを見ると、トークンにも電池切れ以外に有効期限があるらしい。
知らなかった。
たぶん暗号強度の問題なんだろうが。
全ての預金者にたいして、数年おきに新しいトークンを物理的に郵送しなければならないわけだ。
全てのトークンを口座番号と紐付けしながら。
常識的に考えて、預金者から金を取らないと維持できないだろう。
Re:パスワード確認時の乱数表を全て入力させる (スコア:3)
>たぶん暗号強度の問題なんだろうが。
暗号強度というか、所詮疑似乱数を発行しているだけなので、
乱数の生成アルゴリズムと種を見破られない程度の期間かなと。
さすがに利用実態の無い顧客には送らない様で。
切り替えるから最低額の入金をしてくれと言う督促メールが定期的に送られてきておりますw
>全てのトークンを口座番号と紐付けしながら。
紐付けは最初の利用時に行いますね。
トークンの発行する番号を何度か入力させて、サーバー側で一致する物を見つけている様な感じでしたね。
Re: (スコア:0)
(主な目的として)電池切れを起こさないために有効期限を設定しているのです。
Re: (スコア:0)
銀行は儲かってるよ。
年に1000円ぐらいじゃ、全然痛くない。
Re: (スコア:0)
通帳を発行すると年200円または400円の印紙税を銀行が払わなきゃいけないと聞いたことがあります。
通帳も紙の取引明細送付もないインターネット専業銀行ならこのコストがかからないはずなので、トークン発行の費用にまわせるのかもしれませんね。