パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

みずほ銀のネットバンキングサービスで登録アドレスを携帯メールに変更するよう呼びかけ」記事へのコメント

  • 理由の第一は
    >登録いただくメールアドレスは、受信後すぐにご確認いただけるよう、
    >スマートフォンや携帯電話のメールアドレスをご登録ください。
    >第三者による不正利用が発生した際の、早期発見につながります。

    と書いてある。
    スマホや携帯なら手元にあって確認しやすいと考えているということでしょう。
    みずほはやってないけど、他の銀行では複数のメールアドレスを登録できるところもあるので、
    そういう方法もありではないか。

    それ以外にも、みずほのパスワードは
    >アルファベットと数字を組み合わせた6桁~32桁のパスワードを入力
    となっているけど、

    三菱東京UFJみたいに
    >半角英数字と半角記号の組み合わせで8桁以上16桁以内でご入力ください。記号は必須です。
    >利用可能な記号は # $ + - . / : = ? @ [ ] ^ _ ` | です。
    にするとか、やるべきことは他にもあるとは思うけど。
    • by Anonymous Coward

      さっさとOTP必須にしろよ、でFAだと思ってる。

      • by Anonymous Coward on 2013年11月26日 14時31分 (#2501129)

        > さっさとOTP必須にしろよ、でFAだと思ってる。

        OTPはフィッシング対策としてはまったくもって不十分です。
        フィッシング側でOTP入力を本物のサーバーにリレーする(MITM攻撃)と簡単に破れるので。

        またスマホや携帯のブラウザだと、URLバーのアドレス確認が面倒くさいので、PCよりも
        フィッシング攻撃に弱い側面もありますね。

        親コメント
        • でも、フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。

          親コメント
          • by Anonymous Coward

            > フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。

            えー?
            「ブラウザのURLバーをしっかり確認する」でFAでは?
            リテラシーとして、これは必須だし、今のところ十分な対策でしょう。
            (国際化ドメイン名とR2Lでフガホゲとかは懸念材料ですが、まだ聞いたことはない)。
            OTPに比べても穴が少ない上、安価。

            • by Anonymous Coward

              「ブラウザのURLバーをしっかり確認する」で何が確認できるんだ。(ブラウザやプラグインのチェック機能の結果を確認?)
              URL見ただけで正しいものと正しくないものを十分な精度と範囲で区別できる人間がいるとは思えない。(ごく限られたもののみになるのではないか?)
              だいたいURLを偽装する(URLそのものの偽装ではなくて、接続先を偽装する事も含む)のは最初の一歩だと思うのだが

              • by Anonymous Coward

                ちょっと何言ってるのか本気でわからない。
                誰か翻訳おねがい

              • by Anonymous Coward on 2013年11月27日 9時38分 (#2501511)

                http://takagi-hiromitsu.jp/diary/20041215.html [takagi-hiromitsu.jp]
                でリンク、引用してるようなURLのドメイン部分確認作業のことでしょ。
                高校あたりで教えなきゃいけない常識だよね、これ。

                R2Lは、RLOの別名。「RLO 対策」でググれば分かると思う。

                親コメント
              • by Anonymous Coward

                あ、本気でわからないってのは、#2501430 のポストの方か。
                スラドでもリテラシー教育を否定するタイプはいるってことでは?
                銀行のような重要サイトなら、EV-SSLな証明書とってるだろうし、
                その確認なら、高校生程度の教養と、適切なリテラシー教育があれば、
                殆どの人ができると思うけどねえ。

              • by Anonymous Coward

                そのURL(ドメイン)は本当に該当の機関のサイトですか?という事なんだが。
                #お前は自分が使っているサイトのドメインをすべて正確に覚えているのか?
                URLが正しいとしても、名前解決、ルーティングに手を入れられている可能性はないのか?
                #フィッシングは不特定多数相手とは限らない

              • by Anonymous Coward

                > そのURL(ドメイン)は本当に該当の機関のサイトですか?という事なんだが。

                もちろん、その話をしてますよ。
                旧来のSSL証明書にある、その問題を解決するために、EV-SSL証明書が導入されたんですよ。
                「携帯電話メールを使う」なんていう筋の悪い教育をするのではなく、EV-SSL証明書について
                説明するのがまっとうな解決でしょう。

                > #お前は自分が使っているサイトのドメインをすべて正確に覚えているのか?

                EV-SSL証明書を使っていれば、そこまで正確に覚える必要はありません。
                たとえば
                https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001 [bk.mufg.jp]
                にアクセスして

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...