パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Twitterでハッカーに優しい銀行が話題に」記事へのコメント

  • by Anonymous Coward on 2020年09月23日 14時11分 (#3893594)

    さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
    磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?

    • by Anonymous Coward on 2020年09月23日 16時54分 (#3893743)

      ・接続IPを毎回変える
      ・アタック間隔をランダムにして十分にとる。
      ・正規ユーザーの利用が多い時間帯を狙う。
      ・いろんな銀行口座を混ぜる(一つの銀行のアタック回数が減る)
      ・連番攻撃せず、口座番号をシャッフルする。
      ・PINも毎回変える(下手な鉄砲も数撃ちゃ当たる方式なので別に固定じゃなくて良い)
      ・あからさまなPIN(日付とか)はあえて使わない。

      さて正規ユーザに対するサービスを止めずにどうやって防ぐ?

      親コメント
      • by Anonymous Coward

        ログインごとにワンタイムパスワードの入力を要求する

        • by Anonymous Coward

          それは根本的解決すぎる。
          今のダメダメな方式を変更せずに対策は不可能って話の流れなのでは?

        • by Anonymous Coward

          ログイン後のクリティカルな作業にのみ、ワンタイムパスワードを要求すればいいのよ。
          取引履歴参照ぐらいのことで、乱数表を入力させるのも。

          • by Anonymous Coward

            そういう銀行あるけど逆効果なんだよな。
            乱数表って20~40個程度しかパターンがないんだけど、ロガー仕掛けられて情報蓄積された時を
            考えると不必要に乱数表の値を入れさせるのは結構危険。

            というか乱数表自体がもう時代遅れも甚だしい。
            (はずなんだけど未だに新規開設でも使ってるじ○ん銀行とか大丈夫か?)

            • by Anonymous Coward

              乱数表はSBIが使ってますな。もしくは独自認証アプリを入れるしかなく。
              独自アプリなんていけてないから、Microsoft Authenticatorにしてもらえないだろうか。。

            • by Anonymous Coward

              >じ○ん銀行

              じおん銀行?

              #宇宙世紀に一般向け情報通信ネットワークの存在が表現されるようになったのはいつからだろう?
              #正直TV作品では見覚えが無い。

          • by Anonymous Coward

            暗証番号を確認されるだけでもだいぶやばい。
            磁気カードな人間及び、カード現物を確保するルート用意した上での知人犯行に脆弱。

      • by Anonymous Coward

        単純に一定期間内の暗証番号間違いをカウント
        一定数のエラー数だったらハニーポットアカウントにご招待
        この瞬間に人的行動監視対象&本人への確認
        適当な残金表示なのに確認行動をしない&送金を連続するような行動だったらブラック認定して取引停止

        これで大抵の不正は防げそう

        • 単純に一定期間内の暗証番号間違いをカウント

          送信元アドレスが一定、ということであれば、カウントできるけど、そうでなければカウント困難では?
          たとえば、botnetを使うとか。

          親コメント
          • by Anonymous Coward

            別にアドレスが不定であってもログイン失敗はカウントできるでしょ

            • by Anonymous Coward

              無理でしょ。
              ログインに失敗するのは、毎回違うアカウントですよ。

              • by Anonymous Coward

                コンシューマ向けのサービスじゃなかったら「一定回数の連続ログイン失敗」で
                サービス自体を止めてしまうことも出来るんだけど、それってDoS攻撃が成立した
                って意味になるので出来ないんだよね。
                パスワードスプレーは対処困難な攻撃の1つ。

    • by Anonymous Coward on 2020年09月23日 14時15分 (#3893596)

      (あっちがたぶん)リバースブルートフォース攻撃対策してるから、
      ヨシ!

      親コメント
      • by Anonymous Coward

        とても恐ろしい群衆心理である。
        誰もリバースブルートフォース攻撃対策をしていないのだ。

    • by Anonymous Coward on 2020年09月23日 14時39分 (#3893625)

      > さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。

      リバースブルートフォース攻撃は原理的にそもそも対策が難しいかと思うのですが、どうやって対策している想定でしょうか?
      せいぜい毎回3秒とかウェイトを入れて遅くするか、それこそ認証を全て二要素認証にするぐらいしか無いと思いますが。

      親コメント
      • by nim (10479) on 2020年09月23日 14時51分 (#3893636)

        元コメとは違う人ですが、ご指摘のようにリバースブルートフォースの完全な対策は困難です。

        単純なものなら、同一接続元からのログイン試行失敗回数でウェイトを置く、というのがありますが、接続元を分散させたり、間隔をおいて試行したりのパスワードスプレー攻撃までいくと、単純なルールでは対応しきれません。

        現実的には、さまざまな手法・条件を組み合わせて(システム全体のログイン失敗回数が急増しているとか、同一IDでのログイン試行時のUAや接続元地域が異なるとか、ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいかどうかチェックするとか)確率的に攻撃っぽいものを検出するしかないです。

        その上で、追加の認証を求めたり、反応を遅くしたりという感じですかね。

        親コメント
        • by Anonymous Coward

          > ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいか

          これ銀行がやったら非難囂々なのでは?

          • by nim (10479) on 2020年09月23日 16時52分 (#3893738)

            こういう製品があります。

            https://www.akamai.com/jp/ja/multimedia/documents/presentation/web-sec... [akamai.com]

            具体的には知らないけど、金融機関で導入しているところがあってもおかしくないんじゃないかな。

            親コメント
          • by Anonymous Coward

            銀行のサイトのログイン画面でマウスの動きを読み取ってどういう問題があるんだ?
            なんでもセキュリティとかプライバシーとか言えばいいってもんじゃないと思うんだが

            • by Anonymous Coward

              自動ログイン系のアドインは全滅だな

            • by Anonymous Coward

              キーボード操作でのログインやスマホ・タブレットからのログインはどうするんでしょう?
              マウス使わないよ?

              • by Anonymous Coward

                そういうケースは警告の閾値下げるだけでしょ。
                それ単体で警告の材料としてるわけがない。
                マウス操作が人間っぽかったら、アタックされてるとの判定が甘くなる、って考えればわかるかな?

    • アカウントに対しての認証ミスを起こした回数を記録
      一定回数を失敗したら対象アカウントをロック
      でも簡単にロックしちゃうと悪戯ロックが流行るので、その対応も実装しようとすると面倒かも

      • by Anonymous Coward

        > アカウントに対しての認証ミスを起こした回数を記録
        > 一定回数を失敗したら対象アカウントをロック

        それはみんなが当然やってる普通のブルートフォース攻撃の対策な。
        今問題になっているのはリバースブルートフォース攻撃。
        こっちは毎回違う接続元から毎回違うアカウントに対して攻撃を掛けるから、接続元やアカウントでロックアウトはできない。

        • by Anonymous Coward

          ロックしてしまえばいいじゃない。アカウントではなく接続元を。
          毎回違うって言ってもボットネットのリソースも無限ではないし。

          • by Anonymous Coward

            銀行側にどんな権限があって接続元をロックできるんだよ。

    • by Anonymous Coward

      IP変えながらアタックした場合、リバースブルートフォースは後から検知できるかも知れんが、拒否する方策があるなら知りたいね。各口座ごとに1回しかアタックしてこないのに、「認証前に」正規のリクエストとどうやって区別する? 「認証後」に検知できたって、それはすでに盗まれた後だからな。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...