アカウント名:
パスワード:
大手都市銀行の中で、システム周りが弱いイメージがあります。このレベルの人材なら、納得も行きますが。
自分が使っているJNBだと、5年ほど前に乱数表からトークン形式のワンタイムパスワード [japannetbank.co.jp]に切り替わっていて、ログインは口座番号とパスワード、重要な操作(振込みとか)はワンタイムパスワードが必要、という流れになっていますね。 パスワードと物理的なトークン生成機両方が流失しない限り、そうそう簡単には突破されないつくりになっています。
そういうのと比べると、パスワードにしろ合言葉にしろ乱数表にしろ、盗み見られて暗記されてしまうだけで突破されてしまうのは脆弱という気がします。
# とはいえ、これはネット専業銀行だからの話で、そこまでやってる銀行はそうそう無い気がしますが・・・。 # 実際私が給与関係で使ってる地銀なんかは、ネットバンクといってもパスワードが二種類必要なぐらいで、あまり厳重とは言えません。
これって難しい問題ですよね。
パソコンにアンチウイルスソフトを入れるとか、十分に複雑なパスワードを作り厳重に管理するなどの適切な対応をしてれば、まあ許容できるくらいには安全にできるし、万が一の事態でも損害は金で補償すればいいレベル。
たしかにワンタイムパスワードが技術的には遙かに安全なのは認めるけれど、それでもトークンを盗まれたら終わり。それは普通はあり得ないようなミスだけど、生年月日や電話番号みたいなへぼなパスワードを使ったり、ウイルス感染してるのに気づかずに機密情報をダダ漏れにしてるような人ならあり得ない話でもない。
むしろそういうユーザを教育する方が、よほど効果的ではなかろうか。#たとえば「安全でない可能性があります。よろしいですか?」と出たら「いいえ」を選択しなさいとか…… orz
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
格別に (スコア:2, 興味深い)
大手都市銀行の中で、システム周りが弱いイメージがあります。
このレベルの人材なら、納得も行きますが。
Re: (スコア:1)
確率論上問題ないかもしれないけど、カード盗み見られたときに暗記される可能性が高くてセキュリティ的にはどうかと思いました(そもそも人の目にさらされるような所に置くなって話ではありますが、他行と比較した話ということで)。
Re: (スコア:0)
カードを盗み見されたところで、登録されていない端末であれば合言葉を知る必要がありますし、登録されていてもパスワードを知る必要があります。さらに、合言葉やパスワードを数回間違えると、ネットバンクのアカウントを停止され、ネットを介しない方法でアカウントのリセットを申請する必要があります。
利用者としては、利用者からは分かりにくい問題や、利用者から見て他行の方が優れている部分を指摘してもらえると助かります。
ワンタイムパスワードとか (スコア:0)
自分が使っているJNBだと、5年ほど前に乱数表からトークン形式のワンタイムパスワード [japannetbank.co.jp]に切り替わっていて、ログインは口座番号とパスワード、重要な操作(振込みとか)はワンタイムパスワードが必要、という流れになっていますね。
パスワードと物理的なトークン生成機両方が流失しない限り、そうそう簡単には突破されないつくりになっています。
そういうのと比べると、パスワードにしろ合言葉にしろ乱数表にしろ、盗み見られて暗記されてしまうだけで突破されてしまうのは脆弱という気がします。
# とはいえ、これはネット専業銀行だからの話で、そこまでやってる銀行はそうそう無い気がしますが・・・。
# 実際私が給与関係で使ってる地銀なんかは、ネットバンクといってもパスワードが二種類必要なぐらいで、あまり厳重とは言えません。
Re:ワンタイムパスワードとか (スコア:1, 参考になる)
デフォルトで全員適用として欲しいところではありますが、コスト的な問題があるのでそこまでは仕方ないかな?
Re: (スコア:0)
これって難しい問題ですよね。
パソコンにアンチウイルスソフトを入れるとか、十分に複雑なパスワードを作り厳重に管理するなどの
適切な対応をしてれば、まあ許容できるくらいには安全にできるし、万が一の事態でも損害は金で補償
すればいいレベル。
たしかにワンタイムパスワードが技術的には遙かに安全なのは認めるけれど、それでもトークンを盗まれ
たら終わり。それは普通はあり得ないようなミスだけど、生年月日や電話番号みたいなへぼなパスワードを
使ったり、ウイルス感染してるのに気づかずに機密情報をダダ漏れにしてるような人ならあり得ない話でもない。
むしろそういうユーザを教育する方が、よほど効果的ではなかろうか。
#たとえば「安全でない可能性があります。よろしいですか?」と出たら「いいえ」を選択しなさいとか…… orz