メニュー
Infomation
■お知らせ
[スパム対策]コメントにURLを含めると自動的に削除されます。
■このサイトについて
一応残していますが、全時代の遺物。全ての情報は古く役に立ちません 連絡先:メールアドレス
■日記更新情報
RSSRSS|RSS(本文のみ)|lirs
実験&リサーチ
巡回先
製作環境
 

 



2004|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|11|12|
2011|01|
2014|05|08|
2017|07|
2018|03|
2020|08|10|
2021|11|

2009年05月24日(Sunday)

_ [日記] 新生銀行のログインが面倒すぎる件についてセキュリティの考察

新生銀行のWebログインがとても面倒です。

逆に言えばそれだけセキュアかと言えばそうでも無い気がするのですよね。


新生銀行のWebログインには以下が必要です。

・店番号、口座番号

・暗証番号

・パスワード

・暗号表から3つの数字

これらをスクリーンキーボードから入力


これだけ面倒な金融機関は僕の知る限り新生銀行がダントツです。


他の多くの銀行などの場合、口座番号もしくは顧客番号+パスワードでログインできて、出金や解約を伴う処理は追加で乱数表やワンタイムパスワードを要求されるパターンです。

ただログインするだけでこれだけ面倒だと、とてもメインバンクとしては使えないと思うのですが・・・。


面倒な分セキュアかと言えばそれも疑問です。

残高確認するだけで毎回乱数表を取り出すのは危ない気がします。

情報を盗み取ろうとする者にとってはチャンスが増えるわけです。

暗証番号もたかだか4桁の数字をログイン時に増やすメリットよりも、ATMでの最後の砦である4桁の数字を不用意にパソコン上で入力する機会を作る事のほうが問題ではないでしょうか。

その分パスワードを長くすれば済む話なんだし。

また、あんまり面倒な認証システムはユーザーが間違った運用をして返って危ないという側面もあります。

面倒すぎてログイン情報を自動入力するソフトまで作られているようです。


なんでこんなシステムになってしまったのか判りません。

たぶん以前のシステムを改修してきたら結果的にこうなった、なんだと思いますが改善を望みたいところです。



やはりセキュリティと利便性のバランスを考えるとワンタイムパスワード方式が候補に上がりますね。

例えばジャパンネット銀行や野村證券がこの方式です。

ログインだけならパスワードだけ、実際の取引にはワンタイムパスワードを使う方式です。


ワンタイムパスワードの代わりに乱数表を使う所が多いですね。

でも暗号表って保管がけっこう面倒ですし、ふとしたスキにデジカメで撮影されたらそれでおしまいです。

また、ローカルマシン上でキー入力を何回か傍受したら埋められてしまいます。

利便性についてはワンタイムパスワード生成機は持ち歩くのが面倒というのもあるので好みがあると思います。


また、パスワードだけで全て済んでしまうところもあります。

パスワードは複数あって使い分けるようになっている事がほとんどですが、どちらにしても一度でも入力した情報を取られてしまったらおしまいです。

何も持たなくても良いので便利かもしれませんがセキュリティ的にはちょっと心配ですね。

本日のコメント(全2件) [コメントを投稿]

§ Takayuki Okazaki [こんにちは。同じく新生ユーザです。パスワード表が送られてきたときの利用規約の変更を思い出してください。この改悪の真意..]

§ Suika [>Takayuki Okazaki さん 僕はけっこう最近の変更後にユーザーになったので知りませんでしたが、以前のロ..]


最近のコメント

364,000 at 2008.06.14
Copyright (c) Suika KNOnline.NET