ログインにワンタイムパスワード必須化は危険 (#3891684) | テレフォンバンキングがリバースブルートフォース攻撃される可能性について

「テレフォンバンキングがリバースブルートフォース攻撃される可能性について」記事へのコメント

記事ページを表示すべてのコメント取得

検索27コメント Log In/Create an Account

アカウントロックは極端な反応じゃないかなあ (スコア:0)

by Anonymous Coward

三井住友の口座持ちですが、こういう風に対処すればそれなりに安全かと。
* SMBCダイレクトを開設したら、ログインしてとりあえずパスワードをランダムなものに変更する
* 初期パスワードがキャッシュカードの暗証番号とかぶっていた場合、最寄りのATMに直行してキャッシュカードの暗証番号を変更する
* 帰宅したら以下の手続きをすぐ行う。
　- 口座番号ではなく、SMBCダイレクトの顧客番号でしかログインできないように設定する（口座番号への逆総当たり攻撃を阻止）
　- ワンタイムパスワード制を申し込み、ログインにもワンタイムパスワードが必要なように設定する
　- テレフォンバンキングを止める
SMBCよりもっとヤバい銀行はいくらでもあるんじゃないでしょうか。某行なんてログインパスワードが最大6桁しか許容されないというふざけた仕組みだし……。（解約したくてたまらないけど諸事情から出来ないので、名前は勘弁して下さい。）
- ログインにワンタイムパスワード必須化は危険 (スコア:1)
  
  by Anonymous Coward on 2020年09月18日 19時30分 (#3891684)
  
  ログインにワンタイムパスワード必須化はかえって危険になるので止めた方が良いです。
  インターネット専用の第一暗証(4～8桁の英数字)を上限の8文字のランダムな英数字にすれば、オンラインでのブルートフォースアタックは不可能になるので、それで十分。
  何故、ワンタイムパスワードを必須にすると危険かというと、ワンタイムパスワードを入力すると、MITB攻撃をされた場合（マルウェア感染や中継型のフィッシングサイトにログイン情報を入れた場合）に、送金までされてしまう危険があるからです。
  普段、送金や特殊な変更手続きのときしかワンタイムパスワードを使わない場合、ログインだけでワンタイムパスワードを要求されたらおかしいと気が付けますが、毎回入力していたらそれが悪用されて割り込んだ第三者に不正送金に使われる恐れがあります。
  MITBの場合、ログインと送金で2回分のワンタイムパスワード入力がいりますが、ログイン時に「ワンタイムパスワードが違います。再度入力してください」と偽のエラーを出せば、時間切れ（ワンタイムパスワードは30秒しか有効でない）か入力ミスがあったのだと思って再入力してしまう恐れがあります。
  
  シェア
  
  親コメント
  - Re:ログインにワンタイムパスワード必須化は危険 (スコア:1)
    
    by nim (10479) on 2020年09月23日 16時55分 (#3893745)
    
    新しいUA（ブラウザ・アプリ）でログイン→ワンタイムパスワード入力→ログイン成功したらメール通知→ブラウザにセッション（的なもの）保存→以降同一UAからはOTPなし
    がスタンダードじゃないですかね。
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

テレフォンバンキングがリバースブルートフォース攻撃される可能性について More ログイン

「テレフォンバンキングがリバースブルートフォース攻撃される可能性について」記事へのコメント

アカウントロックは極端な反応じゃないかなあ (スコア:0)

ログインにワンタイムパスワード必須化は危険 (スコア:1)

Re:ログインにワンタイムパスワード必須化は危険 (スコア:1)

スラド