アカウント名:
パスワード:
ドコモに限らず今すぐ全停止して欲しい。口座番号は隠す情報じゃない(振り込み先として開示する情報)ので、秘密の情報は1万通りもない「暗証番号」だけ。パスワードスプレーで簡単に攻略出来ることくらい設計時点で本当に誰も気付かなかったとは思えないのだけど。
4桁の暗証番号で安全なのは大量偽造は困難な物理カードでATM前で操作するって条件下だからだよ。オンラインでは前提条件がまったく違うので「本人確認」とかで頑張ったところで安全にしようがない。
インターネットバンクほとんどアウトじゃね?
インターネットバンクの意味がわりと広いのですが、銀行口座の個人ユーザーが操作するいわゆるダイレクトアカウントってやつはほとんどの銀行が多要素認証やOTP、資金移動時のSMS通知とかを組み込んでいます。なので、万全ではないですが悪用の可能性は比較的低いです。
一方で今回の不正利用は「Web口座振替受付」なのでダイレクトアカウントの認証で入って手続きできる銀行もあるのですが、ダイレクトアカウントを持っていないユーザー向けに別の手段で認証(本人確認のつもり)して手続きできるようにしているところが多いのです。それが問題になっている、口座番号+キャッシュカード暗証番号+推測や入手しやすい情報で認証できてしまう方の入り口です。例えば、みずほ銀行はみずほダイレクトで手続きできますが、ダイレクトアカウントを持っていないユーザー向けに口座番号+キャッシュカード暗証番号+通帳最終記帳残高x桁の入力で申請手続きできます。
Web口座振替受付の裏口側の本人確認のセキュアさが銀行によって異なるため、一概に世の中すべてのインターネットバンクのすべてが危険 or 安全といいづらいのです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
口座番号と暗証番号で「連携」出来るサービス (スコア:1)
ドコモに限らず今すぐ全停止して欲しい。
口座番号は隠す情報じゃない(振り込み先として開示する情報)ので、秘密の情報は1万通りもない「暗証番号」だけ。
パスワードスプレーで簡単に攻略出来ることくらい設計時点で本当に誰も気付かなかったとは思えないのだけど。
4桁の暗証番号で安全なのは大量偽造は困難な物理カードでATM前で操作するって条件下だからだよ。
オンラインでは前提条件がまったく違うので「本人確認」とかで頑張ったところで安全にしようがない。
Re: (スコア:0)
インターネットバンクほとんどアウトじゃね?
Re:口座番号と暗証番号で「連携」出来るサービス (スコア:0)
インターネットバンクの意味がわりと広いのですが、
銀行口座の個人ユーザーが操作するいわゆるダイレクトアカウントってやつは
ほとんどの銀行が多要素認証やOTP、資金移動時のSMS通知とかを組み込んでいます。
なので、万全ではないですが悪用の可能性は比較的低いです。
一方で今回の不正利用は「Web口座振替受付」なので
ダイレクトアカウントの認証で入って手続きできる銀行もあるのですが、
ダイレクトアカウントを持っていないユーザー向けに別の手段で認証(本人確認のつもり)して
手続きできるようにしているところが多いのです。
それが問題になっている、口座番号+キャッシュカード暗証番号+推測や入手しやすい情報
で認証できてしまう方の入り口です。
例えば、みずほ銀行はみずほダイレクトで手続きできますが、
ダイレクトアカウントを持っていないユーザー向けに
口座番号+キャッシュカード暗証番号+通帳最終記帳残高x桁の入力で申請手続きできます。
Web口座振替受付の裏口側の本人確認のセキュアさが銀行によって異なるため、
一概に世の中すべてのインターネットバンクのすべてが危険 or 安全といいづらいのです。