パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Twitterでハッカーに優しい銀行が話題に」記事へのコメント

  • さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
    磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?

    • by Anonymous Coward on 2020年09月23日 16時54分 (#3893743)

      ・接続IPを毎回変える
      ・アタック間隔をランダムにして十分にとる。
      ・正規ユーザーの利用が多い時間帯を狙う。
      ・いろんな銀行口座を混ぜる(一つの銀行のアタック回数が減る)
      ・連番攻撃せず、口座番号をシャッフルする。
      ・PINも毎回変える(下手な鉄砲も数撃ちゃ当たる方式なので別に固定じゃなくて良い)
      ・あからさまなPIN(日付とか)はあえて使わない。

      さて正規ユーザに対するサービスを止めずにどうやって防ぐ?

      親コメント
      • by Anonymous Coward

        ログインごとにワンタイムパスワードの入力を要求する

        • by Anonymous Coward

          それは根本的解決すぎる。
          今のダメダメな方式を変更せずに対策は不可能って話の流れなのでは?

        • by Anonymous Coward

          ログイン後のクリティカルな作業にのみ、ワンタイムパスワードを要求すればいいのよ。
          取引履歴参照ぐらいのことで、乱数表を入力させるのも。

          • by Anonymous Coward

            そういう銀行あるけど逆効果なんだよな。
            乱数表って20~40個程度しかパターンがないんだけど、ロガー仕掛けられて情報蓄積された時を
            考えると不必要に乱数表の値を入れさせるのは結構危険。

            というか乱数表自体がもう時代遅れも甚だしい。
            (はずなんだけど未だに新規開設でも使ってるじ○ん銀行とか大丈夫か?)

            • by Anonymous Coward

              乱数表はSBIが使ってますな。もしくは独自認証アプリを入れるしかなく。
              独自アプリなんていけてないから、Microsoft Authenticatorにしてもらえないだろうか。。

            • by Anonymous Coward

              >じ○ん銀行

              じおん銀行?

              #宇宙世紀に一般向け情報通信ネットワークの存在が表現されるようになったのはいつからだろう?
              #正直TV作品では見覚えが無い。

          • by Anonymous Coward

            暗証番号を確認されるだけでもだいぶやばい。
            磁気カードな人間及び、カード現物を確保するルート用意した上での知人犯行に脆弱。

      • by Anonymous Coward

        単純に一定期間内の暗証番号間違いをカウント
        一定数のエラー数だったらハニーポットアカウントにご招待
        この瞬間に人的行動監視対象&本人への確認
        適当な残金表示なのに確認行動をしない&送金を連続するような行動だったらブラック認定して取引停止

        これで大抵の不正は防げそう

        • 単純に一定期間内の暗証番号間違いをカウント

          送信元アドレスが一定、ということであれば、カウントできるけど、そうでなければカウント困難では?
          たとえば、botnetを使うとか。

          親コメント
          • by Anonymous Coward

            別にアドレスが不定であってもログイン失敗はカウントできるでしょ

            • by Anonymous Coward

              無理でしょ。
              ログインに失敗するのは、毎回違うアカウントですよ。

              • by Anonymous Coward

                コンシューマ向けのサービスじゃなかったら「一定回数の連続ログイン失敗」で
                サービス自体を止めてしまうことも出来るんだけど、それってDoS攻撃が成立した
                って意味になるので出来ないんだよね。
                パスワードスプレーは対処困難な攻撃の1つ。

Stableって古いって意味だっけ? -- Debian初級

処理中...