2009年05月24日(Sunday) [長年日記]
_ [日記] 新生銀行のログインが面倒すぎる件についてセキュリティの考察
新生銀行のWebログインがとても面倒です。
逆に言えばそれだけセキュアかと言えばそうでも無い気がするのですよね。
新生銀行のWebログインには以下が必要です。
・店番号、口座番号
・暗証番号
・パスワード
・暗号表から3つの数字
これらをスクリーンキーボードから入力
これだけ面倒な金融機関は僕の知る限り新生銀行がダントツです。
他の多くの銀行などの場合、口座番号もしくは顧客番号+パスワードでログインできて、出金や解約を伴う処理は追加で乱数表やワンタイムパスワードを要求されるパターンです。
ただログインするだけでこれだけ面倒だと、とてもメインバンクとしては使えないと思うのですが・・・。
面倒な分セキュアかと言えばそれも疑問です。
残高確認するだけで毎回乱数表を取り出すのは危ない気がします。
情報を盗み取ろうとする者にとってはチャンスが増えるわけです。
暗証番号もたかだか4桁の数字をログイン時に増やすメリットよりも、ATMでの最後の砦である4桁の数字を不用意にパソコン上で入力する機会を作る事のほうが問題ではないでしょうか。
その分パスワードを長くすれば済む話なんだし。
また、あんまり面倒な認証システムはユーザーが間違った運用をして返って危ないという側面もあります。
面倒すぎてログイン情報を自動入力するソフトまで作られているようです。
なんでこんなシステムになってしまったのか判りません。
たぶん以前のシステムを改修してきたら結果的にこうなった、なんだと思いますが改善を望みたいところです。
やはりセキュリティと利便性のバランスを考えるとワンタイムパスワード方式が候補に上がりますね。
例えばジャパンネット銀行や野村證券がこの方式です。
ログインだけならパスワードだけ、実際の取引にはワンタイムパスワードを使う方式です。
ワンタイムパスワードの代わりに乱数表を使う所が多いですね。
でも暗号表って保管がけっこう面倒ですし、ふとしたスキにデジカメで撮影されたらそれでおしまいです。
また、ローカルマシン上でキー入力を何回か傍受したら埋められてしまいます。
利便性についてはワンタイムパスワード生成機は持ち歩くのが面倒というのもあるので好みがあると思います。
また、パスワードだけで全て済んでしまうところもあります。
パスワードは複数あって使い分けるようになっている事がほとんどですが、どちらにしても一度でも入力した情報を取られてしまったらおしまいです。
何も持たなくても良いので便利かもしれませんがセキュリティ的にはちょっと心配ですね。
364,000 at 2008.06.14
Copyright (c) Suika KNOnline.NET
こんにちは。同じく新生ユーザです。パスワード表が送られてきたときの利用規約の変更を思い出してください。この改悪の真意が分かると思います。<br><br>当時、消費者保護の観点で不正利用による被害を銀行側が補填するという法律が執行されました。この法律では、暗証番号に誕生日を使っている場合など消費者側の過失と認められるような場合を除き、銀行側の責任として損失補填することになりました(補填割合は過失の度合いによって違うと思いますが)。これはインターネットバンクも同様です。<br><br>この法律が執行された後にできたこの面倒くさいパスワード表は、規約によれば、パスワード表の運用を消費者側の責任として、上記補填を銀行側が免責しようという意図に読み取れる内容でした(最新の規約まではチェックしていないので、今は違うかもしれません)
>Takayuki Okazaki さん<br>僕はけっこう最近の変更後にユーザーになったので知りませんでしたが、以前のログインシステムに暗号表がついて今の状態になってしまったそうですね。<br>なんとも、利便性的にもセキュリティ的にも改善の余地が大きい気がします。<br>ユーザーに責任を押し付ける意図だとすればお客さん離れてしまいますよねぇ。<br>やはりジャパンネット銀行が今のところ一番使いやすいです。