アカウント名:
パスワード:
正しいトランザクション認証ができるぐらいのITリテラシーがあるなら、そもそも不正送金被害にあわないだろwカードの動作確認とか言われてホイホイ入力して、役にたたんだろうなw
みずほを始めとして日本の銀行はいかにも素人考えの"セキュリティ対策"をやるんだよな。ダサピンク現象みたいにエンジニアが正しく設計したのを文民がぶっ壊すんだろうけど。まあ損するのはそいつらだからいいかw
みずほを始めとして日本の銀行はいかにも素人考えの"セキュリティ対策"をやるんだよな。
今回みずほ銀行が導入する「トランザクション認証」は、セキュリティトークンに振込先口座番号以外の数字を入力するという間違いさえ犯さなければ、下記の攻撃全てを防ぐことができる優れものです。
あと、あちこちの銀行が導入させている PhishWall [securebrain.co.jp]も「いかにも素人考えのセキュリティ対策」だと思います。EV SSL の確認方法の説明だけで十分であって、訳の分からんアプリケーションを導入させることに慣れさせる害の方が大きいと思います。
なんでMITB対策ソフトとEV SSLの確認が同列で語られてるんだよ・・・IEのMITBの場合はWinInet APIをフックしてAPIからブラウザにデータが渡る所で改ざんするから、MITBで改ざんされてもSSL証明書は正規のサイトの物が使われてるように見えるんだよ。だからSSLの確認は全く意味がない。EV SSL の確認だけでセキュリティ対策が十分だと思ってるのは、いかにも素人考えだと思います。
SSL(の初めのやりとり)も今回のも、
思いもしないランダムな質問をして、答えさせるゼロ知識で、SSLは自動的になされるから、枝を張られたり、目を盗まれたりする可能性があるが、
今度のは、人間が手ずからやるから、そうなり難いのでは?
人手なので操作する人間が正しく判断しなければいけない。画面に表示された指示にほいほい従えば何の効果もない。例えばフィッシングサイトやウイルスが送金確認段階まで自動で進め、ユーザがそれを盲信して承認したら無駄。
正誤ランダムに10回位、入力して全部打ち終わってから答え合わせすれば、サーバー側の認証の代わりになるのでは?今回はその第一歩とか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
バカをなめてはいけない (スコア:0)
正しいトランザクション認証ができるぐらいのITリテラシーがあるなら、そもそも不正送金被害にあわないだろw
カードの動作確認とか言われてホイホイ入力して、役にたたんだろうなw
Re: (スコア:-1)
みずほを始めとして日本の銀行はいかにも素人考えの"セキュリティ対策"をやるんだよな。
ダサピンク現象みたいにエンジニアが正しく設計したのを文民がぶっ壊すんだろうけど。まあ損するのはそいつらだからいいかw
「いかにも素人考えのセキュリティ対策」とは (スコア:4, 参考になる)
今回みずほ銀行が導入する「トランザクション認証」は、セキュリティトークンに振込先口座番号以外の数字を入力するという間違いさえ犯さなければ、下記の攻撃全てを防ぐことができる優れものです。
Re: (スコア:1)
なんでMITB対策ソフトとEV SSLの確認が同列で語られてるんだよ・・・
IEのMITBの場合はWinInet APIをフックしてAPIからブラウザにデータが渡る所で改ざんするから、MITBで改ざんされてもSSL証明書は正規のサイトの物が使われてるように見えるんだよ。
だからSSLの確認は全く意味がない。
EV SSL の確認だけでセキュリティ対策が十分だと思ってるのは、いかにも素人考えだと思います。
Re:「いかにも素人考えのセキュリティ対策」とは (スコア:0)
最近のガキってプロトコルが何もわかってなくて、上っしか見てない。
といってもここはスラドだしね。
やれやれ。
Re: (スコア:0)
SSL(の初めのやりとり)も今回のも、
思いもしないランダムな質問をして、答えさせる
ゼロ知識で、SSLは自動的になされるから、枝を
張られたり、目を盗まれたりする可能性があるが、
今度のは、人間が手ずからやるから、そうなり難い
のでは?
Re: (スコア:0)
人手なので操作する人間が正しく判断しなければいけない。画面に表示された指示にほいほい従えば何の効果もない。
例えばフィッシングサイトやウイルスが送金確認段階まで自動で進め、ユーザがそれを盲信して承認したら無駄。
Re: (スコア:0)
正誤ランダムに10回位、入力して
全部打ち終わってから答え合わせ
すれば、サーバー側の認証の代わりに
なるのでは?
今回はその第一歩とか。