アカウント名:
パスワード:
なんとなく「みずほ銀行のネットバンキングはセキュリティに不安があるので客は十分自衛して使ってくれ」って銀行が言ってるように受け取れてしまいますね。
ということで、みずほ銀行のネットバンキングは危ないので使わないが正解。
セキュリティはどうかわからないが、システム周りのごたごたを見ていると、使っていてドキドキします。#使うなよ。
いっぺん統合作業かなにかのメンテ失敗してエライコトになってたんでしたっけ。
以前GW連休前にみずほATMから旅行の軍資金降ろそうとしたら途中で無反応・・・と、いきなりガコっとATMの筐体が凹んでユニットごと奥に引っ込んで新手の詐欺にでも引っかかったのかとパニクッて横にあった電話で話したら「システムに異常が出たので調べてます。お引き取りください」とのこと。
お金降したいんだけど今の手続きはどうなった?と聞いたら「手続きは完了しています」とのことって、お金出てきてないよと言うと「連休明け一週間くらいで口座に戻します、手数料も取りません」って、今お金が必要でもう口座にあんまり残ってないよとごねても「すみません、お引き取りください」しか言わなくて脱力のGWが始まったという黒い記憶がよみがえった。#細部はたぶん色々間違って覚えてるけど大筋はあってます。
さっさとOTP必須にしろよ、でFAだと思ってる。
今年10月よりワンタイムパスワードトークンの利用料無料化を実施
> さっさとOTP必須にしろよ、でFAだと思ってる。
OTPはフィッシング対策としてはまったくもって不十分です。フィッシング側でOTP入力を本物のサーバーにリレーする(MITM攻撃)と簡単に破れるので。
またスマホや携帯のブラウザだと、URLバーのアドレス確認が面倒くさいので、PCよりもフィッシング攻撃に弱い側面もありますね。
でも、フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。
> フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。
えー?「ブラウザのURLバーをしっかり確認する」でFAでは?リテラシーとして、これは必須だし、今のところ十分な対策でしょう。(国際化ドメイン名とR2Lでフガホゲとかは懸念材料ですが、まだ聞いたことはない)。OTPに比べても穴が少ない上、安価。
「ブラウザのURLバーをしっかり確認する」で何が確認できるんだ。(ブラウザやプラグインのチェック機能の結果を確認?)URL見ただけで正しいものと正しくないものを十分な精度と範囲で区別できる人間がいるとは思えない。(ごく限られたもののみになるのではないか?)だいたいURLを偽装する(URLそのものの偽装ではなくて、接続先を偽装する事も含む)のは最初の一歩だと思うのだが
ちょっと何言ってるのか本気でわからない。誰か翻訳おねがい
http://takagi-hiromitsu.jp/diary/20041215.html [takagi-hiromitsu.jp]でリンク、引用してるようなURLのドメイン部分確認作業のことでしょ。高校あたりで教えなきゃいけない常識だよね、これ。
R2Lは、RLOの別名。「RLO 対策」でググれば分かると思う。
あ、本気でわからないってのは、#2501430 のポストの方か。スラドでもリテラシー教育を否定するタイプはいるってことでは?銀行のような重要サイトなら、EV-SSLな証明書とってるだろうし、その確認なら、高校生程度の教養と、適切なリテラシー教育があれば、殆どの人ができると思うけどねえ。
そのURL(ドメイン)は本当に該当の機関のサイトですか?という事なんだが。#お前は自分が使っているサイトのドメインをすべて正確に覚えているのか?URLが正しいとしても、名前解決、ルーティングに手を入れられている可能性はないのか?#フィッシングは不特定多数相手とは限らない
> そのURL(ドメイン)は本当に該当の機関のサイトですか?という事なんだが。
もちろん、その話をしてますよ。旧来のSSL証明書にある、その問題を解決するために、EV-SSL証明書が導入されたんですよ。「携帯電話メールを使う」なんていう筋の悪い教育をするのではなく、EV-SSL証明書について説明するのがまっとうな解決でしょう。
> #お前は自分が使っているサイトのドメインをすべて正確に覚えているのか?
EV-SSL証明書を使っていれば、そこまで正確に覚える必要はありません。たとえば https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001 [bk.mufg.jp] にアクセスして
情弱とかお花畑とか書き込む人は日常的に2chの複数のスレッドを荒らしてるソースはないけど結構自信あり。
自己紹介ですね。わかります。
256文字フレーズ途中で間違っても修正もできず最初から入力とか。修正できたとしても入力と確認だけで疲れるな。ATMでそれやられると昼休みに並んでたら順番回って来なかったりして。
ほんとに堅牢なの? 辞書攻撃の延長であっさり抜かれるんじゃないかと思ってたんだけど、エントロピーで44bitって何を根拠に言ってるんだろう(単なる興味です)。
使用する単語数を2048(2^11)個とすると、ランダムな4単語の組み合わせで2^44ってことでしょう。でも、攻撃者の利用する辞書のサイズ次第なので、辞書のサイズが256(2^8)ぐらいで、運悪く、その中に使用した単語がすべて含まれていたら、2^32だから、リンク先の計算だと50日くらいしか持たないよね。
そういう、偶然によるクラックを避けるためには、もうひと工夫は必要だし、不幸にしてパスワードの1つが漏れた時に連鎖的にやられないよう、生成ルールはアカウントごとに違っているのがベター。
リンク先にあるようなuncommon (but *non* gibberrish) なbase word にcommon substitutionを施して~ ってな方法は一般的なのか?三菱東京UFJ方式での8桁でも、でたらめな8桁であれば2^44より2桁ほど多い組み合わせになるんじゃね?どっちが覚えやすいかは知らんが
>大文字小文字、数字に記号まで混ぜてパスワードこさえるより、単純にパスワードの長さを長くした方が堅牢であるという事実が理解できてない。あまりに簡略化しすぎ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
それはタレコミの解釈が違うような (スコア:5, 参考になる)
>登録いただくメールアドレスは、受信後すぐにご確認いただけるよう、
>スマートフォンや携帯電話のメールアドレスをご登録ください。
>第三者による不正利用が発生した際の、早期発見につながります。
と書いてある。
スマホや携帯なら手元にあって確認しやすいと考えているということでしょう。
みずほはやってないけど、他の銀行では複数のメールアドレスを登録できるところもあるので、
そういう方法もありではないか。
それ以外にも、みずほのパスワードは
>アルファベットと数字を組み合わせた6桁~32桁のパスワードを入力
となっているけど、
三菱東京UFJみたいに
>半角英数字と半角記号の組み合わせで8桁以上16桁以内でご入力ください。記号は必須です。
>利用可能な記号は # $ + - . / : = ? @ [ ] ^ _ ` | です。
にするとか、やるべきことは他にもあるとは思うけど。
Re:それはタレコミの解釈が違うような (スコア:5, おもしろおかしい)
なんとなく
「みずほ銀行のネットバンキングはセキュリティに不安があるので客は十分自衛して使ってくれ」
って銀行が言ってるように受け取れてしまいますね。
ということで、みずほ銀行のネットバンキングは危ないので使わないが正解。
Re: (スコア:0)
セキュリティはどうかわからないが、システム周りのごたごたを見ていると、使っていてドキドキします。
#使うなよ。
Re:それはタレコミの解釈が違うような (スコア:4, 参考になる)
いっぺん統合作業かなにかのメンテ失敗してエライコトになってたんでしたっけ。
以前GW連休前にみずほATMから旅行の軍資金降ろそうとしたら途中で無反応・・・
と、いきなりガコっとATMの筐体が凹んでユニットごと奥に引っ込んで新手の詐欺にでも引っかかったのかとパニクッて横にあった電話で話したら「システムに異常が出たので調べてます。お引き取りください」とのこと。
お金降したいんだけど今の手続きはどうなった?と聞いたら
「手続きは完了しています」とのこと
って、お金出てきてないよと言うと
「連休明け一週間くらいで口座に戻します、手数料も取りません」
って、今お金が必要でもう口座にあんまり残ってないよとごねても「すみません、お引き取りください」しか言わなくて脱力のGWが始まったという黒い記憶がよみがえった。
#細部はたぶん色々間違って覚えてるけど大筋はあってます。
Re: (スコア:0)
さっさとOTP必須にしろよ、でFAだと思ってる。
そのころ三井住友銀行は (スコア:1)
今年10月よりワンタイムパスワードトークンの利用料無料化を実施
Re:そのころ三井住友銀行は (スコア:1)
Re:それはタレコミの解釈が違うような (スコア:1)
> さっさとOTP必須にしろよ、でFAだと思ってる。
OTPはフィッシング対策としてはまったくもって不十分です。
フィッシング側でOTP入力を本物のサーバーにリレーする(MITM攻撃)と簡単に破れるので。
またスマホや携帯のブラウザだと、URLバーのアドレス確認が面倒くさいので、PCよりも
フィッシング攻撃に弱い側面もありますね。
Re:それはタレコミの解釈が違うような (スコア:1)
でも、フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。
Re: (スコア:0)
> フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。
えー?
「ブラウザのURLバーをしっかり確認する」でFAでは?
リテラシーとして、これは必須だし、今のところ十分な対策でしょう。
(国際化ドメイン名とR2Lでフガホゲとかは懸念材料ですが、まだ聞いたことはない)。
OTPに比べても穴が少ない上、安価。
Re: (スコア:0)
「ブラウザのURLバーをしっかり確認する」で何が確認できるんだ。(ブラウザやプラグインのチェック機能の結果を確認?)
URL見ただけで正しいものと正しくないものを十分な精度と範囲で区別できる人間がいるとは思えない。(ごく限られたもののみになるのではないか?)
だいたいURLを偽装する(URLそのものの偽装ではなくて、接続先を偽装する事も含む)のは最初の一歩だと思うのだが
Re: (スコア:0)
ちょっと何言ってるのか本気でわからない。
誰か翻訳おねがい
Re:それはタレコミの解釈が違うような (スコア:1)
http://takagi-hiromitsu.jp/diary/20041215.html [takagi-hiromitsu.jp]
でリンク、引用してるようなURLのドメイン部分確認作業のことでしょ。
高校あたりで教えなきゃいけない常識だよね、これ。
R2Lは、RLOの別名。「RLO 対策」でググれば分かると思う。
Re: (スコア:0)
あ、本気でわからないってのは、#2501430 のポストの方か。
スラドでもリテラシー教育を否定するタイプはいるってことでは?
銀行のような重要サイトなら、EV-SSLな証明書とってるだろうし、
その確認なら、高校生程度の教養と、適切なリテラシー教育があれば、
殆どの人ができると思うけどねえ。
Re: (スコア:0)
そのURL(ドメイン)は本当に該当の機関のサイトですか?という事なんだが。
#お前は自分が使っているサイトのドメインをすべて正確に覚えているのか?
URLが正しいとしても、名前解決、ルーティングに手を入れられている可能性はないのか?
#フィッシングは不特定多数相手とは限らない
Re: (スコア:0)
> そのURL(ドメイン)は本当に該当の機関のサイトですか?という事なんだが。
もちろん、その話をしてますよ。
旧来のSSL証明書にある、その問題を解決するために、EV-SSL証明書が導入されたんですよ。
「携帯電話メールを使う」なんていう筋の悪い教育をするのではなく、EV-SSL証明書について
説明するのがまっとうな解決でしょう。
> #お前は自分が使っているサイトのドメインをすべて正確に覚えているのか?
EV-SSL証明書を使っていれば、そこまで正確に覚える必要はありません。
たとえば
https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001 [bk.mufg.jp]
にアクセスして
Re: (スコア:0, おもしろおかしい)
情弱とかお花畑とか書き込む人は日常的に2chの複数のスレッドを荒らしてる
ソースはないけど結構自信あり。
Re: (スコア:0)
自己紹介ですね。
わかります。
Re: (スコア:0)
Re: (スコア:0)
Re:情報弱者って怖いわ (スコア:1)
256文字フレーズ途中で間違っても修正もできず最初から入力とか。
修正できたとしても入力と確認だけで疲れるな。
ATMでそれやられると昼休みに並んでたら順番回って来なかったりして。
Re: (スコア:0)
ほんとに堅牢なの? 辞書攻撃の延長であっさり抜かれるんじゃないかと思ってたんだけど、エントロピーで44bitって何を根拠に言ってるんだろう(単なる興味です)。
Re: (スコア:0)
使用する単語数を2048(2^11)個とすると、ランダムな4単語の組み合わせで2^44ってことでしょう。でも、攻撃者の利用する辞書のサイズ次第なので、辞書のサイズが256(2^8)ぐらいで、運悪く、その中に使用した単語がすべて含まれていたら、2^32だから、リンク先の計算だと50日くらいしか持たないよね。
そういう、偶然によるクラックを避けるためには、もうひと工夫は必要だし、不幸にしてパスワードの1つが漏れた時に連鎖的にやられないよう、生成ルールはアカウントごとに違っているのがベター。
Re: (スコア:0)
リンク先にあるような
uncommon (but *non* gibberrish) なbase word にcommon substitutionを施して~ ってな方法は一般的なのか?
三菱東京UFJ方式での8桁でも、でたらめな8桁であれば2^44より2桁ほど多い組み合わせになるんじゃね?
どっちが覚えやすいかは知らんが
>大文字小文字、数字に記号まで混ぜてパスワードこさえるより、単純にパスワードの長さを長くした方が堅牢であるという事実が理解できてない。
あまりに簡略化しすぎ