三井住友銀行のネットバンキングにおける「数字4桁の暗唱番号」の是非 59
ストーリー by hylom
ネット時代に数字4桁は安全ではない 部門より
ネット時代に数字4桁は安全ではない 部門より
あるAnonymous Coward 曰く、
三井住友銀行のネットバンキングでログインの際の認証に「数字4桁の暗証番号」が使われていることについて、疑問の声が出ている(三井住友銀行ネットバンクの暗証が数字4桁になった件 | 栗原潔のIT弁理士日記)。
三井住友銀行のネットバンキングでは、昨年10月よりログインや残高照会などの処理については数字4桁の暗証番号(第一暗証)で認証を行い、振り込みや解約などの情報についてはワンタイムパスワード生成機(「パスワードカード」)を使ったワンタイムパスワード認証を利用する形に変更されている。しかし、「第一暗証」には銀行口座のキャッシュカードの暗証番号と同一のもの、もしくは任意の数字4桁しか指定できない(三井住友銀行のヘルプページ)。その点がセキュリティ的に脆弱ではないかと指摘されている。
また、設定によっては登録済みの振込先に対し、パスワードカードなしでの振り込みも可能になってしまうという。それ以外の振込・振替などのお金の移動が発生する処理についてはワンタイムパスワードを使うから安心という考え方もあるが、実際のところはどうなのだろうか。
大丈夫さ (スコア:3)
4桁でダメだから最高12桁までOKとかにしても
利用者は4桁の数字を3回連続でいれて12桁とかにしちゃうもんさ
Re:大丈夫さ (スコア:3, おもしろおかしい)
そこは同じ数字を使えないようにすれば良いのですよ。
#あれ、12桁?
Re:大丈夫さ (スコア:1)
我々には16進数がある!(それアルファベットだから
#2進数で4桁縛りとかだったら、ものすげーいやだなー
Re:大丈夫さ (スコア:1)
Huluの登録のとき
パスワードは8~255文字までで設定してください
と表示されて、あらためて言われると255文字ってインパクトあるなーと思いました
Re: (スコア:0)
255バイトというと固定長のカラムに平文のまま保存しているんんじゃないかと心配になるな
口に出しちゃあかん… (スコア:1)
タイトル間違ってますね>暗唱番号
Re:口に出しちゃあかん… (スコア:2)
詠唱、祈り、念じろ!
#灰になりました
Re: (スコア:0)
まだ大丈夫、もう1回チャンスがある。
Re:口に出しちゃあかん… (スコア:3)
なるほど、復活したときにはステータスの代わりに残金が減っていると・・・
Re:口に出しちゃあかん… (スコア:1)
で、残高が足りないと「背教者め、出て行け 」と言われると・・・
Re:口に出しちゃあかん… (スコア:1)
従って
・声に出しちゃいかんだろう
・数字4桁では「唱えた」感に乏しい。やはり100桁は要るだろう。
でも (スコア:1)
新生銀行みたいにめんどくさすぎるよりはユーザ視点じゃね?
#2回もロックで電話した。
どこがセキュリティ的に脆弱なのか (スコア:1)
セキュリティが高いと考えるので切り替えました。
利用料もみずほなんかと違って無料だし。
脆弱と考える人は、今まで英数字8ケタだったのが4ケタになってしまったので不安に
感じるというだけで、具体的な脆弱性は示されていません。
いやなら、ワンタイムパスワードカードを申し込まなければ従来通りなので、
別にどうってことないと思いますが。
Re:どこがセキュリティ的に脆弱なのか (スコア:2)
自分の残高や取引明細「だけ」が,わざわざ不正アクセスしてまで手に入れるほど価値のあるような人には脆弱性なのだと思います.
私にはそれは脆弱性ではないし,ログインごときでわざわざワンタイムパスを入力せんといかんのが前々から面倒だと思っていたので,この記事でこれを知って申し込みました.
Re: (スコア:0)
生年月日や住所電話番号も当然見られるでしょうし、さらに口座番号や残高といった情報は本人しか見ることができないと一般に認識されている情報が加わると、ソーシャルハッキングを仕掛けられたとき、ソーシャルな本人認証をくぐり抜ける為に使われるのでは。
例の「@N」の件の時、クレジットカードの下4桁によってソーシャルな本人認証の突破口にされたようですし。
Re:どこがセキュリティ的に脆弱なのか (スコア:1)
どういう情報が見えるかちょこっと見てみました.
住所氏名性別電話番号が分かりましたが,
生年月日はなぜか「ご登録あり」とだけ表示されて見えません.
生年月日をパスワードにする人が多いからでしょうか.
口座番号って本人しか見ない情報なんですかね?
公開しても平気なものだと思ってました.
取引履歴が見えるので給料が丸見えで残念な気持ちになりました.
あと,普段考えないようにしてるローン残高を見てしまって憂鬱になりました.
Re: (スコア:0)
> 口座番号って本人しか見ない情報なんですかね?
> 公開しても平気なものだと思ってました.
自分もそう思ってたけど、口座番号と4桁の数字で個人情報が見れてしまうと考えると・・・ちょっと嫌かな。
それに口座番号なんて適当な番号でも当たりそうだし
誰かわからん口座の情報を見ようと思えば、適当な番号だけで見れちゃうこともあるってことですね。
Re: (スコア:0)
>口座番号って本人しか見ない情報なんですかね?
経済産業省が個人情報保護のガイドラインの中で例示して保護すべき情報として挙げているので
基本的にはそうでは。
Re:どこがセキュリティ的に脆弱なのか (スコア:2)
振込先として使うと開示されるばあいがあるのでは。
通常は口座名の検索でしょうが
#個人だと…たとえば大家とか?
受け入れ確認後、速やかに移動するべき?
Re: (スコア:0)
本人が開示している場合があるから、クラッキング犯罪から保護すべき情報ではないという論法は無理があるのでは無いでしょうか
Re: (スコア:0)
どっちがマシという議論ではなくて、なぜ強度のあるパスワード+ワンタイムパスワードという構成にしなかったのかって事では
Re: (スコア:0)
どこって、4桁の数字のみではブルートフォース攻撃で現実的な時間に破られるってことでしょう。
残高の金額や入出金履歴って相当センシティブな情報だと思いますが、見られてもいいんでしょうか。
また、リンク先にあるように、キャッシュカードと同じ番号にする人が出そうなのも嫌な感じです。
この場合、オンラインによる匿名のブルートフォース攻撃でキャッシュカードの暗証番号を入手できることになります。
ワンタイムパスワードはもちろん結構なことですが、だからといって第1パスワードを脆弱にしてよいことはないのでは。
Re:どこがセキュリティ的に脆弱なのか (スコア:1)
数回間違えるとロックされるので総当りは私ならやらない
どこで操作されたかを記録しているし、
周辺部分での補強処理ゆえに
4桁でも実運用になっているんじゃないかな
Re:どこがセキュリティ的に脆弱なのか (スコア:1)
3回でロックされるなら試行の足がつく上に、解除がクソ面倒(電話もなかなかつながらないし)。
たまにしかつかわない且つ間違えるとロックされるようなものに複雑なパスワードをを要求すると利便性も運用も面倒になる。
ロックをやめてブルートフォースを許すリスク、別のパスワード流用されてほかで流出したのでログインできてしまうリスクも踏まえるべき。
あとその後の振り込み処理などではあらためてパスワードを聞かれるので4桁ですべてができるわけではないことも重要。
Re:どこがセキュリティ的に脆弱なのか (スコア:1)
下にもあるけど、リバースブルートフォース(パスワードを固定してIDを変えていく)のこと忘れてるから。
IP変えながらこいつやられたら、数字4桁じゃ簡単に抜かれてしまう。
Re: (スコア:0)
有りがちなパスワードで実行したら同様な気がします。
三井住友のサイトにそういうアタックを検出する機構があるのかどうか気になるところですが。
Re: (スコア:0)
それでも1/10000よりかはましだと思います。
Re: (スコア:0)
ウイルスを埋め込まれたとか、ソーシャルエンジニアリングで盗まれたとかいう事例は聞くけど、
銀行がリバースブルートフォースでやられてという話は聞いたことがない。
簡単にできるのなら、被害例があってよさそうなのに。
Re:どこがセキュリティ的に脆弱なのか (スコア:1)
あと、たとえ失敗したとしても使用された暗証番号の記録はセキュリティ的によろしくないと思いますよ。
Re: (スコア:0)
ズボラな人が居るとそいつが被害被る可能性がある、ってのが脆弱性かなぁ?
一応、第三者にログインされてもたいしたことできないよう設定でいるみたいですし。
でも、初期設定のまま放置すると登録先に振込イタズラし放題っぽいですよ。
4桁数字ってのはリバースブルートフォースアタックで簡単に抜けちゃいますから。
犯罪組織的には、あまり美味しい使い道無いかもしれないけど。
※あと単純に自分の取引先とか残高とか見られたく無いじゃん、ってのあるよね。
Re: (スコア:0)
魅力的な未婚女性になら、残高見られたいです。
契約番号 (スコア:0)
5桁+5桁の合計10桁の契約者番号を絶対に漏らさなければどうって事はない(棒)。
あとは、振込み額の上限を低く設定しておく事くらいしか防衛策は無いですかね。
第三暗証番号を知らないと変更できないのですが、自分は求められるまでその存在を知りませんでした(笑)。
Re: (スコア:0)
店番号+口座番号でもログインできなかったっけ?
誰かに振込依頼したことあれば漏れてる。
Re: (スコア:0)
初めは契約者番号だけでしたが、
後から店番号+口座番号でもログインできるように改悪(?)されましたよね
Re: (スコア:0)
そういえば、そうでしたね。iOS版のアプリ入れた時にどちらでログインするか選ばせられたの思い出しました。
Re: (スコア:0)
オリックス銀行が口座番号とパスワードだけでログインできるんでオークションとかで絶対使えない。
つかネットショッピングにも給与振込にもなんにも使えねーよ。怖くて。
Re: (スコア:0)
第三者への振込は別の暗証カードかワンタイムパスワードが必要なのでそこまで心配しなくていいかも
既に無償でワンタイムパスワードが配布されているんだから気になるなら発行すればいい
Re: (スコア:0)
そういえば、このトピックでも話題に上がっている某銀行から、
「犯罪対策のために振込金額の上限をオンラインで変えられないようにするよ。
その前に上限を見直しといてね(≒上げておいてね)」と言われました。
なんか違うだろ、それ。
#うん、確かに三周遅れだ。
UFJ (スコア:0)
パスワードは8-16文字、記号必須だけど氏名と契約番号さえあればパスワード変更可能で
乱数表さえ手に入れば全てを手に入れたも同然という
Re: (スコア:0)
乱数表をすべて入力させるフィッシングサイトが現れて、注意喚起を行ってましたね。
って、/.Jでも記事 [srad.jp]になってましたね。
私はこの話を聞いて怖くなったので、三菱東京UFJのネットバンクを解約しようとしたら、
ネットバンクだけ解約するには金がかかるというので、口座ごと解約してさよならしちゃいました。
フィッシングサイトじゃないが (スコア:0)
会計ソフトfree、MoneyForwardの口座登録画面はまさにそれだよな
新生なんか乱数表すべて入力させる仕様になってるし…
Re: (スコア:0)
先日MUFGの口座を置いている支店からご機嫌伺いの電話がかかってきたので
「MUFGはセキュリティが他社と比べて3周くらい周回遅れだ」
「UFJ時代には他社と比べて割と先進的だったのに三菱と合併してから落ちる一方だ」
と言っておいた
向こうにはそういう意識は全くなかったようでかなり衝撃を受けていたようだ…
セキュリティが杜撰でも (スコア:0)
銀行側が全てサクっと補償してくれるなら構わない。
……と思ったけど氏名や取引先の情報が漏れるリスクはあるか。
Re:セキュリティが杜撰でも (スコア:1)
補償したとして、その経費は誰が負担するんですか?
脆弱だと思ったら (スコア:0)
それに見合った金額以上は入れないようにすればいいでしょ。
インターネットバンキングを有効にした口座に
大金を入れとくことがリスクだよ。
Re: (スコア:0)
たしかにそうなんだけど、そうするとネット証券とかできなくなるな…
設定変更可能 (スコア:0)
[登録内容の変更]の[ログイン方法]で「第一暗証でログイン」か「第一暗証+パスワードカードでログイン」が選択できますが...
Re: (スコア:0)
記事読めよ。
設定によってはできてしまうってのも問題の一つだ。
システムやセキュリティの専門家が使うものじゃなく、一般人が使うものだってことを忘れちゃダメ。
一般人に求めることができるのは、最高でも「URI欄のドメインが合ってて鍵マークが入ってる」とこまで。
4桁 (スコア:0)
「パスワードに数字4~6桁しか認めない日本の航空会社はユニークすぎて
パスワードリスト型攻撃に強い」って言ってた人は前言撤回しないといけないね。
Re: (スコア:0)
航空会社のマイレージ会員サービスなんてどうせ携帯電話に予約情報運行情報のメールやSMSを送るのが標準機能みたいなもんなんだから
貯まったマイレージを使う部分だけでもSMSベースのOTPとかやればいいんだよな…