パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

テレフォンバンキングがリバースブルートフォース攻撃される可能性について」記事へのコメント

  • by Anonymous Coward on 2020年09月18日 15時09分 (#3891479)

    三井住友の口座持ちですが、こういう風に対処すればそれなりに安全かと。

    * SMBCダイレクトを開設したら、ログインしてとりあえずパスワードをランダムなものに変更する
    * 初期パスワードがキャッシュカードの暗証番号とかぶっていた場合、最寄りのATMに直行してキャッシュカードの暗証番号を変更する
    * 帰宅したら以下の手続きをすぐ行う。
       - 口座番号ではなく、SMBCダイレクトの顧客番号でしかログインできないように設定する(口座番号への逆総当たり攻撃を阻止)
     - ワンタイムパスワード制を申し込み、ログインにもワンタイムパスワードが必要なように設定する
     - テレフォンバンキングを止める

    SMBCよりもっとヤバい銀行はいくらでもあるんじゃないでしょうか。某行なんてログインパスワードが最大6桁しか許容されないというふざけた仕組みだし……。(解約したくてたまらないけど諸事情から出来ないので、名前は勘弁して下さい。)

    • by Anonymous Coward on 2020年09月18日 19時30分 (#3891684)

      ログインにワンタイムパスワード必須化はかえって危険になるので止めた方が良いです。
      インターネット専用の第一暗証(4~8桁の英数字)を上限の8文字のランダムな英数字にすれば、オンラインでのブルートフォースアタックは不可能になるので、それで十分。

      何故、ワンタイムパスワードを必須にすると危険かというと、ワンタイムパスワードを入力すると、MITB攻撃をされた場合(マルウェア感染や中継型のフィッシングサイトにログイン情報を入れた場合)に、送金までされてしまう危険があるからです。

      普段、送金や特殊な変更手続きのときしかワンタイムパスワードを使わない場合、ログインだけでワンタイムパスワードを要求されたらおかしいと気が付けますが、毎回入力していたらそれが悪用されて割り込んだ第三者に不正送金に使われる恐れがあります。
      MITBの場合、ログインと送金で2回分のワンタイムパスワード入力がいりますが、ログイン時に「ワンタイムパスワードが違います。再度入力してください」と偽のエラーを出せば、時間切れ(ワンタイムパスワードは30秒しか有効でない)か入力ミスがあったのだと思って再入力してしまう恐れがあります。

      親コメント
    • by Anonymous Coward

      昔はSMBCダイレクトは顧客番号でしかログインできなかったのに、いつのまにか
      口座番号でもログインできるようになったんだよな。
      余計な事をするな、というかんじ。
      MUFGダイレクトも同じ。顧客番号だけだったところが口座番号もOKになった。

      • by Anonymous Coward

        SMBCダイレクトは口座番号でログインできないようにも設定できますよ。

        • by Anonymous Coward

          口座番号ログインもテレフォンバンキングも
          結局、オプトアウトになってないのが問題。

        • by Anonymous Coward

          知らない人は危険なまま。

アレゲは一日にしてならず -- アレゲ研究家

処理中...