アカウント名:
パスワード:
ドコモに限らず今すぐ全停止して欲しい。口座番号は隠す情報じゃない(振り込み先として開示する情報)ので、秘密の情報は1万通りもない「暗証番号」だけ。パスワードスプレーで簡単に攻略出来ることくらい設計時点で本当に誰も気付かなかったとは思えないのだけど。
4桁の暗証番号で安全なのは大量偽造は困難な物理カードでATM前で操作するって条件下だからだよ。オンラインでは前提条件がまったく違うので「本人確認」とかで頑張ったところで安全にしようがない。
インターネットバンクほとんどアウトじゃね?
それなりにちゃんとしたネットバンクなら、・ワンタイムパスワード・スマホの生体認証・ネットバンク用カード記載の番号入力あたりでセキュリティ担保していますよあと申し込み結果なんかも全部メールや SMS で飛んでくるので、不正利用にも気づけますし
# 今回のはむしろネットバンク未開設でもネット口座振替申請出来てしまって、記帳まで気づけないのが問題拡大の一因かな
口座番号とキャッシュカードの暗証番号だけで取引操作できるインターネットバンクなんて皆無だと思うけど。まずログイン時には口座番号とは別のユーザーネーム要求されるし、パスワードだってキャッシュカードの暗証番号とは桁数も使える文字の種類も違う。
残高照会だけなら三井住友とかが出来るけど、資金移動を伴う取引が出来るのは皆無ですねー
ひろみちゅはSMBCの仕様にもキレてるけどな。
>三井住友銀行はもはや信用できなくなったので長年ロックのまま放置してある。https://twitter.com/HiromitsuTakagi/status/1303298285302476801 [twitter.com]
インターネットバンクの意味がわりと広いのですが、銀行口座の個人ユーザーが操作するいわゆるダイレクトアカウントってやつはほとんどの銀行が多要素認証やOTP、資金移動時のSMS通知とかを組み込んでいます。なので、万全ではないですが悪用の可能性は比較的低いです。
一方で今回の不正利用は「Web口座振替受付」なのでダイレクトアカウントの認証で入って手続きできる銀行もあるのですが、ダイレクトアカウントを持っていないユーザー向けに別の手段で認証(本人確認のつもり)して手続きできるようにしているところが多いのです。それが問題になってい
こいつ使ったことないんだろうなあ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
口座番号と暗証番号で「連携」出来るサービス (スコア:1)
ドコモに限らず今すぐ全停止して欲しい。
口座番号は隠す情報じゃない(振り込み先として開示する情報)ので、秘密の情報は1万通りもない「暗証番号」だけ。
パスワードスプレーで簡単に攻略出来ることくらい設計時点で本当に誰も気付かなかったとは思えないのだけど。
4桁の暗証番号で安全なのは大量偽造は困難な物理カードでATM前で操作するって条件下だからだよ。
オンラインでは前提条件がまったく違うので「本人確認」とかで頑張ったところで安全にしようがない。
Re:口座番号と暗証番号で「連携」出来るサービス (スコア:0)
インターネットバンクほとんどアウトじゃね?
Re:口座番号と暗証番号で「連携」出来るサービス (スコア:1)
それなりにちゃんとしたネットバンクなら、
・ワンタイムパスワード
・スマホの生体認証
・ネットバンク用カード記載の番号入力
あたりでセキュリティ担保していますよ
あと申し込み結果なんかも全部メールや SMS で飛んでくるので、不正利用にも気づけますし
# 今回のはむしろネットバンク未開設でもネット口座振替申請出来てしまって、記帳まで気づけないのが問題拡大の一因かな
Re: (スコア:0)
口座番号とキャッシュカードの暗証番号だけで取引操作できるインターネットバンクなんて皆無だと思うけど。
まずログイン時には口座番号とは別のユーザーネーム要求されるし、パスワードだってキャッシュカードの暗証番号とは桁数も使える文字の種類も違う。
Re: (スコア:0)
残高照会だけなら三井住友とかが出来るけど、資金移動を伴う取引が出来るのは皆無ですねー
Re: (スコア:0)
ひろみちゅはSMBCの仕様にもキレてるけどな。
>三井住友銀行はもはや信用できなくなったので長年ロックのまま放置してある。
https://twitter.com/HiromitsuTakagi/status/1303298285302476801 [twitter.com]
Re: (スコア:0)
インターネットバンクの意味がわりと広いのですが、
銀行口座の個人ユーザーが操作するいわゆるダイレクトアカウントってやつは
ほとんどの銀行が多要素認証やOTP、資金移動時のSMS通知とかを組み込んでいます。
なので、万全ではないですが悪用の可能性は比較的低いです。
一方で今回の不正利用は「Web口座振替受付」なので
ダイレクトアカウントの認証で入って手続きできる銀行もあるのですが、
ダイレクトアカウントを持っていないユーザー向けに別の手段で認証(本人確認のつもり)して
手続きできるようにしているところが多いのです。
それが問題になってい
Re: (スコア:0)
こいつ使ったことないんだろうなあ