_ [日記] 新生銀行のログインが面倒すぎる件についてセキュリティの考察

新生銀行のＷｅｂログインがとても面倒です。

逆に言えばそれだけセキュアかと言えばそうでも無い気がするのですよね。

新生銀行のＷｅｂログインには以下が必要です。

・店番号、口座番号

・暗証番号

・パスワード

・暗号表から３つの数字

これらをスクリーンキーボードから入力

これだけ面倒な金融機関は僕の知る限り新生銀行がダントツです。

他の多くの銀行などの場合、口座番号もしくは顧客番号＋パスワードでログインできて、出金や解約を伴う処理は追加で乱数表やワンタイムパスワードを要求されるパターンです。

ただログインするだけでこれだけ面倒だと、とてもメインバンクとしては使えないと思うのですが・・・。

面倒な分セキュアかと言えばそれも疑問です。

残高確認するだけで毎回乱数表を取り出すのは危ない気がします。

情報を盗み取ろうとする者にとってはチャンスが増えるわけです。

暗証番号もたかだか４桁の数字をログイン時に増やすメリットよりも、ＡＴＭでの最後の砦である４桁の数字を不用意にパソコン上で入力する機会を作る事のほうが問題ではないでしょうか。

その分パスワードを長くすれば済む話なんだし。

また、あんまり面倒な認証システムはユーザーが間違った運用をして返って危ないという側面もあります。

面倒すぎてログイン情報を自動入力するソフトまで作られているようです。

なんでこんなシステムになってしまったのか判りません。

たぶん以前のシステムを改修してきたら結果的にこうなった、なんだと思いますが改善を望みたいところです。

やはりセキュリティと利便性のバランスを考えるとワンタイムパスワード方式が候補に上がりますね。

例えばジャパンネット銀行や野村證券がこの方式です。

ログインだけならパスワードだけ、実際の取引にはワンタイムパスワードを使う方式です。

ワンタイムパスワードの代わりに乱数表を使う所が多いですね。

でも暗号表って保管がけっこう面倒ですし、ふとしたスキにデジカメで撮影されたらそれでおしまいです。

また、ローカルマシン上でキー入力を何回か傍受したら埋められてしまいます。

利便性についてはワンタイムパスワード生成機は持ち歩くのが面倒というのもあるので好みがあると思います。

また、パスワードだけで全て済んでしまうところもあります。

パスワードは複数あって使い分けるようになっている事がほとんどですが、どちらにしても一度でも入力した情報を取られてしまったらおしまいです。

何も持たなくても良いので便利かもしれませんがセキュリティ的にはちょっと心配ですね。