アカウント名:
パスワード:
・口座番号 (数字6桁連番 + チェックビット数字1桁)・暗証番号 (数字4桁)
これだけで口座振替契約を成立させて海外送金(ドコモ口座) [docomokouza.jp]も自由自在
めったに使わない口座の暗証番号は故意に3回失敗窓口対応要状態にしとくべきね
キャッシュカード作らなければ暗証番号自体が存在しないんでもっと楽。
ゆうちょとかは通帳自体にもキャッシュカード機能があったかと。それにカード自体に暗証番号が入ってたのはごく昔の話で、今はサーバ側に登録する仕様だからなしに出来ない銀行もあるんじゃね?
ゆうちょで通帳使ってATMで引き出し出来るのはキャッシュカードを作ってる場合だけ。キャッシュカードがなければ窓口で通帳と印鑑が必要。(それが安全か?は別の問題)
あと磁気カードでカードに暗証番号を書いてる銀行は30年前から皆無。が、ICキャッシュカードではどの銀行もカードに焼いてる上にATMでの対応が進むまでは変更不可だった。# その点ではICより磁気の方が安全って状態が結構長かった。# 今でもICキャッシュカード+暗証番号での不正引き出しは補償されないので、預金者として考えるとICのメリットは無いに近い。
多分、キャッシュカードでの引出し処理じゃなくて窓口手続きだから、ATMでカードにロック掛かってても暗証番号合ってれば関係なく申請通るんじゃね?
これってパスワードは口うるさいけどIDはザルっていう良い教訓だよな
パスワード(暗証番号)が数字4桁の時点でパスワードもザルだから何とも言いがたいな
ところが通常は通帳やキャッシュカードの物理媒体やその使用場所の監視カメラ、引き落とし申請企業側での本人確認とか書類処理の手間が掛かる事で攻撃が制限できていたので問題なかった。ドコモ講座やその他類似サービスはそれを全部撤去したので、無防備なID&暗証番号に対しての攻撃が可能となってしまった。
てか、前にもこの攻撃が発生したのに、その後アカウント作成ハードル下げたって話なんだよなドコモ口座。ほんと、何考えてんだ。暗証番号にそんな強度はねぇよ。本人確認はテメェの仕事だよ銀行に投げるな。投げるにしても暗証番号のみでOKなところは提携しちゃ駄目だろが。
仕組みはこんな感じIDザルの話ね
【ドコモ口座】リバースブルートフォース攻撃のわかりやすい例えが話題に : オタク.com -オタコム- [otakomu.jp]
■今回起きたリバースブルートフォース攻撃の例え浜辺美波ちゃんのパンツが欲しい!って美波ちゃんのロッカーでダイヤルグルグルするのがブルートフォース攻撃今回のは女子ロッカーからパンツ取りたい!って端から0721って番号だけ入れてガチャガチャしてダメなら隣、ってやり方やパンツさえもらえれば浜辺美波ちゃんだろうが谷亮子ちゃんだろうがかまわへん、って奴のやり方や
リバースブルートフォースアタックを防ぐには、パスワードを2つ使うのがいい
ログインID 大抵はメールアドレスパスワード1 ユーザーが設定したパスワードパスワード2 サーバーが指定したパスワード(ユーザーによる設定不可)
パスワード1とパスワード2が両方揃ってはじめてログイン可能
使用しているパスワードが、推測可能もしくは自分以外の人間も使っていると予想されるほどに一般的な文字列なら、まずはそれを変えるべき。
そうでなければリバースブルートフォース攻撃の餌食にはならない。
ドコモ&地銀「4桁の数字ならパスワードとして完璧です」
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
今のトレンドはリバースブルートフォースアタック (スコア:0)
・口座番号 (数字6桁連番 + チェックビット数字1桁)
・暗証番号 (数字4桁)
これだけで口座振替契約を成立させて海外送金(ドコモ口座) [docomokouza.jp]も自由自在
Re: (スコア:0)
めったに使わない口座の暗証番号は故意に3回失敗窓口対応要状態にしとくべきね
Re:今のトレンドはリバースブルートフォースアタック (スコア:2)
キャッシュカード作らなければ暗証番号自体が存在しないんでもっと楽。
Re: (スコア:0)
ゆうちょとかは通帳自体にもキャッシュカード機能があったかと。
それにカード自体に暗証番号が入ってたのはごく昔の話で、
今はサーバ側に登録する仕様だからなしに出来ない銀行もあるんじゃね?
Re: (スコア:0)
ゆうちょで通帳使ってATMで引き出し出来るのはキャッシュカードを作ってる場合だけ。
キャッシュカードがなければ窓口で通帳と印鑑が必要。(それが安全か?は別の問題)
あと磁気カードでカードに暗証番号を書いてる銀行は30年前から皆無。
が、ICキャッシュカードではどの銀行もカードに焼いてる上にATMでの対応が進むまでは変更不可だった。
# その点ではICより磁気の方が安全って状態が結構長かった。
# 今でもICキャッシュカード+暗証番号での不正引き出しは補償されないので、預金者として考えるとICのメリットは無いに近い。
Re: (スコア:0)
多分、キャッシュカードでの引出し処理じゃなくて窓口手続きだから、
ATMでカードにロック掛かってても暗証番号合ってれば関係なく申請通るんじゃね?
Re: (スコア:0)
これってパスワードは口うるさいけどIDはザルっていう良い教訓だよな
Re: (スコア:0)
パスワード(暗証番号)が数字4桁の時点でパスワードもザルだから何とも言いがたいな
Re:今のトレンドはリバースブルートフォースアタック (スコア:1)
ところが通常は通帳やキャッシュカードの物理媒体やその使用場所の監視カメラ、
引き落とし申請企業側での本人確認とか書類処理の手間が掛かる事で攻撃が制限できていたので問題なかった。
ドコモ講座やその他類似サービスはそれを全部撤去したので、
無防備なID&暗証番号に対しての攻撃が可能となってしまった。
てか、前にもこの攻撃が発生したのに、その後アカウント作成ハードル下げたって話なんだよなドコモ口座。
ほんと、何考えてんだ。暗証番号にそんな強度はねぇよ。本人確認はテメェの仕事だよ銀行に投げるな。
投げるにしても暗証番号のみでOKなところは提携しちゃ駄目だろが。
Re: (スコア:0)
仕組みはこんな感じ
IDザルの話ね
【ドコモ口座】リバースブルートフォース攻撃のわかりやすい例えが話題に : オタク.com -オタコム- [otakomu.jp]
Re: (スコア:0)
リバースブルートフォースアタックを防ぐには、パスワードを2つ使うのがいい
ログインID 大抵はメールアドレス
パスワード1 ユーザーが設定したパスワード
パスワード2 サーバーが指定したパスワード(ユーザーによる設定不可)
パスワード1とパスワード2が両方揃ってはじめてログイン可能
Re: (スコア:0)
使用しているパスワードが、推測可能もしくは自分以外の人間も使っていると予想されるほどに一般的な文字列なら、まずはそれを変えるべき。
そうでなければリバースブルートフォース攻撃の餌食にはならない。
Re: (スコア:0)
ドコモ&地銀「4桁の数字ならパスワードとして完璧です」