アカウント名:
パスワード:
キャッシュカード暗証番号の4桁数字って仕様は変えられないし、大半の銀行では常識の「ネットバンキングは別のユーザIDとパスワードを使う」って方法は安全ではあるけど「覚えられない」って問題があるし、どんなにIDとパスワードに辿り着きにくい仕組み(複雑なもの)にしたところでユーザ操作をマルウェアやフィッシングで盗まれたら終わり。
結局のところ同時に盗まれる可能性がある「要素」だけで完結する認証を許してはならない。現時点で考えられるセキュリティ対策はそれに尽きる。
ぎっちぎちのセキュリティは金もかかるだろうしユーザの利便性も落ちるから、補償がしっかりしてれば少々ザルでもええわ。クレカはまさにその路線だしな。犯罪者に金が流れるのがちょっと困りものだが。
ユーザに面倒を強いるだけがセキュリティじゃないと思うんだけどね。たとえば、登録されている電話番号に電話掛けて「ただいまの口座連携処理がお客様による操作でしたら1を押してください」って自動音声を流すだけでもいい。# 誤操作を恐れなければ9を押せば口座がロックされるとか。
利便性を損ねるセキュリティって基本的には逆効果だと思う。パスワード要件を複雑にしたら付箋にメモって貼られるのと同じような話。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
パスワードは破られるものって前提 (スコア:2, すばらしい洞察)
キャッシュカード暗証番号の4桁数字って仕様は変えられないし、大半の銀行では常識の
「ネットバンキングは別のユーザIDとパスワードを使う」って方法は安全ではあるけど
「覚えられない」って問題があるし、どんなにIDとパスワードに辿り着きにくい仕組み(複雑なもの)
にしたところでユーザ操作をマルウェアやフィッシングで盗まれたら終わり。
結局のところ同時に盗まれる可能性がある「要素」だけで完結する認証を許してはならない。
現時点で考えられるセキュリティ対策はそれに尽きる。
Re: (スコア:1)
ぎっちぎちのセキュリティは金もかかるだろうしユーザの利便性も落ちるから、補償がしっかりしてれば少々ザルでもええわ。
クレカはまさにその路線だしな。
犯罪者に金が流れるのがちょっと困りものだが。
Re:パスワードは破られるものって前提 (スコア:1)
ユーザに面倒を強いるだけがセキュリティじゃないと思うんだけどね。
たとえば、登録されている電話番号に電話掛けて
「ただいまの口座連携処理がお客様による操作でしたら1を押してください」
って自動音声を流すだけでもいい。
# 誤操作を恐れなければ9を押せば口座がロックされるとか。
利便性を損ねるセキュリティって基本的には逆効果だと思う。
パスワード要件を複雑にしたら付箋にメモって貼られるのと同じような話。