イオン銀行が「秘密の質問」を導入 55
ストーリー by hylom
質問を自分で作れるだけマシか 部門より
質問を自分で作れるだけマシか 部門より
あるAnonymous Coward 曰く、
イオン銀行がセキュリティ強化のため、「秘密の質問」による認証を導入した。
以前パスワード再発行に必要な「秘密の質問」は役立たずという話題があったが、イオン銀行については
普段のご利用環境と異なると判断した場合に、事前にお客さまにご登録いただいた「質問」に対する「答え」(合言葉)をご入力いただくことで、お客さまご本人のご利用であることを確認します
という仕組みだそうだ。
多少はマシ (スコア:2)
「秘密の質問」、という機能の名前だけで考えちゃうと、「無いほうがマシ」と考えてますが
1.「その他」を選び、質問文を作れる、まあ特定個別の情報の解答にはしなくてもよいのが明確な選択肢としてある、ということ
2.上記にもあるけど、普段と違うときの認証(リスクベース認証)
3.普通にログインしてから、修正できる(その際は決済用の取引パスワードが必要)
ので、既存の「秘密の質問」のトラブルはまあ回避は可能かなと
正直、ここまでするなら、専用ランダムコードを事前発行する系(たとえばGoogleとかで二要素認証使う時のリセット用みたいな)でいいんじゃないかという気もしないでもないけどねー。
# ログインパスワード、決済時の数表(テレフォンバンキングでも使うんだっけ?)、オンライン決済は決済パスワード、とあってさらにコレってのは凄い大変だろうな、とも思うけど...
M-FalconSky (暑いか寒い)
Re: (スコア:0)
いつも思うが秘密の質問じゃなくて第二パスワードじゃだめなのか?
Re:多少はマシ (スコア:1)
#2569805 [srad.jp]にあるような横取り対策、なんですかね?
用途としては、そのものズバリではありますね。
# 3つある、質問が表示される。が必要なのかなー。
# とはいえ、横取りされなくても、セッション上でニセ送金とかされたらそれまでだよなぁ。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
それだと暗記がますます難しくなるし、紙なり暗号化されたファイルなりに記録しておくとなると、それらがクラックされたときに2つのパスワードが同時に流出しまうことになる。2つのパスワードを確実に分離しておくには、一方を確実に暗記できるものにしておいて記録しなくてもいいようにするのが最も手軽な手段。
もちろん、秘密の質問の解答を素直なものにしておくと、友人・知人には分かってしまうという危険性はあるが、第一のパスワードの強度には全く影響しないから、より安全な方向になることはあっても、より危険なものになることはない。
2つのパスワードを用意できるのなら連結して1つのパスワードにしてしまって、それに秘密の質問を付加する方がずっと強固。
Re: (スコア:0)
安全度を下げたくないならパスワードだけのほうがよいのでは。
Re:多少はマシ (スコア:1)
>安全度を下げたくないならパスワードだけのほうがよいのでは。
今回の事例は、「パスワードを忘れても秘密の質問でログインできる」ではなくて、
「パスワードは当然合ってないといけないけど、それでも怪しい(普段は東京から Chrome でアクセスしてるのに、
突然中国から謎の UA でログインしようとした)場合に、秘密の質問*にも*回答できないと先に進めない」という方式ですよ。
それがなぜ、「安全度を下げたくないならパスワードだけのほうがよい」になるのか説明していただけますか?
Re: (スコア:0)
秘密の質問: 役立たず
答え:
みずほ銀行にも昔からある (スコア:2)
いつもと同じパソコンからの利用で、「合言葉」の入力を求められましたが何故ですか。 [mizuhobank.co.jp]
イオン銀行と似た方式ですね。
何をやっても (スコア:2)
忘れるやつは忘れる
質問項目がアレゲ (スコア:1)
『「秘密の質問」と「質問の答え」は第三者が推測しにくいものをご登録ください。』って言っておきながら、秘密の質問の候補に出てくるのが『卒業した小学校は?』『実家の最寄り駅は?』とかいうものを候補に出しちゃうのってどうなのよ?
Re:質問項目がアレゲ (スコア:1)
まったくです
合言葉といえばBeeですよね
Re: (スコア:0)
だっふんだ
なぜ秘密の質問が流行るのか (スコア:0)
個人情報を収集しているだけだったりしてな。
Re:なぜ秘密の質問が流行るのか (スコア:2, 参考になる)
> なぜ秘密の質問が流行るのか
入電数を減らして、サポートに掛けるコストを下げるため。
本当に人件費削減に役立ってるのか、効果の程は知りませんが。
パスワードなんか生で保存してないし、保存してたところで教えられるものでもないのに
「パスワード忘れました」といってくる奴は後を絶たない。
パスワードリセット機能を設けていても、登録時のメールアドレスは使えなくなっている
とかで、やっぱり電話窓口に問い合わせてきやがるのですよ。
Re: (スコア:0)
そういう人たちが、自分で設定した「秘密の答え」を覚えてるとは思えないんだけどなぁ。
自分は「秘密の・・・」は最初から使わないつもりだからいつも適当な文字列を入力してとりあえずパスしてる。
後で必要になった時に問題になるだろうけど、今のところ困ったことはない。
Re: (スコア:0)
まだセキュリティに関して今ほど詳しくなかった頃、秘密の質問に真面目に回答していたんですが、それでも『母の旧姓は?』に「漢字?ひらがな?カタカナ?どれで入力したっけ?」となったことが何度も。
Re: (スコア:0)
> やっぱり電話窓口に問い合わせてきやがるのですよ。
見境なく誰でも客にするからそういう人が現れるんだよ。
問い合わせてきやがられるのが嫌なら、そういう人が
会員になれないような工夫をすりゃいいのに。
Re: (スコア:0)
Re: (スコア:0)
全員囲い込み戦略をとっている時点で負けだから、あほやモンスタークレーマーの相手をするための人件費は最初から織り込むべきだな。
Re: (スコア:0)
Re: (スコア:0)
「カードなくしました」
「通帳もなくしました」
「身分証も持ってません」
「口座番号も忘れました」
「暗証番号も忘れました」
なんて客にゃいちいち応対しないんだし。
それで窓口でゴネてりゃ警備員に連れて行かれて110番でしょ。
ネット銀行はもっと慇懃無礼でいいんじゃない?
そういったところをカジュアルに緩めてるからセキュリティが確保できないんだと思うよ。
Re: (スコア:0)
Re: (スコア:0)
しばらく前、盗難でカードと通帳を失って店頭に届けたら、まぁ本当に絵に描いたような慇懃無礼な対応だったのです。
本人確認した後の豹変ぶりも凄かった。
でも、そのくらいでちょうどいいと思ってる。
慇懃無礼 (スコア:0)
警察に盗難届けを出して受理票もらってこい
話はそれからだってやつ?
Re: (スコア:0)
セキュリティ最大手のRSAが推進してて、RSAはNSAとの密約が噂されてることを考えるとアリエール。
一昔前に流行ったバッドノウハウとかいうやつですか、もうやめてくださいよ・・・
Re: (スコア:0)
R銀行がまさにそれとしか思えなかった。
毎回毎回質問してきやがって...
Re: (スコア:0)
>R銀行
まるでロボットが運営してるみたいに見える。
楽天なんだろ?
無意味だからそういうの止めようぜ。
# 略字でも伏せ字でも名誉毀損は成立するから意味ないって意外と知られていない
Re: (スコア:0)
今更だけどApple IDを作成してみようとして、秘密の質問(固定)と答えを3つも要求されたので、嫌になって止めたんだよね。
もしかして以前もこれが嫌で作成しなかったのかも?
Re: (スコア:0)
今なら、二段階認証を使えば
秘密の質問は使わないです。
Re: (スコア:0)
個人認証って突き詰めたら個人情報との突き合わせですけど?
パスワード再発行に必要な「秘密の質問」は役立たず (スコア:0)
っと思ったが、
パスワード + 状況に応じて秘密の質問
なのですね。
普段と違うIPの場合に聞くとかかな?
Re:パスワード再発行に必要な「秘密の質問」は役立たず (スコア:1)
シンプルでそれなりの効果がありそうですね。
気になる人は、母親の旧姓をクトゥルフ神話の神様あたり設定してもいいし
Re: (スコア:0)
この手のものについては質問に対して妥当っぽい答えは入力しないことにしている
推測についてはある程度はそれで防げるかな・・・?と
Re: (スコア:0)
マルウエア対策だと思うが、インジェクションして本物と同じ場所に偽入力画面を追加してやれば簡単に盗めるので、ほとんど効果がないと思うぞ
ゆうちょの取引パスワードを盗むやつみたいに本来は無い画面を挟み込むのなら注意してれば防げるけど、本物と同じ流れで画面を追加されると騙されないのはほぼ不可能だろうし
Re:パスワード再発行に必要な「秘密の質問」は役立たず (スコア:2)
ユーザ認証において、フィッシングと組み合わせた中間者攻撃に対して有効な対抗手段はそもそも
ほとんどない(SSL証明書をちゃんと確認しましょう!けど、それをみんながちゃんとやってくれるなら苦労しない)から、もうそれは仕方ない。
リスクベース認証と組み合わせて認証方法を追加するのは、一般的なユーザの利便性をそれほど損なわないで結構効果が得られるからなかなかいい方法。
Re:パスワード再発行に必要な「秘密の質問」は役立たず (スコア:1)
その偽入力画面に秘密の質問を表示しないといけないけど、どこから取得するの?
Re:パスワード再発行に必要な「秘密の質問」は役立たず (スコア:1)
マルウェアではない一般ユーザーはどこから秘密の質問を取得するのでしょうか?
もちろん、正規のWebサービスからです。
Re:パスワード再発行に必要な「秘密の質問」は役立たず (スコア:1)
ユーザーは怪しまれないと秘密の質問を取得することはない。
マルウェアが取得するには正規のWebサービスに怪しまれなきゃいけない・・・ってことなりません?
それはそれで守りを固めやすくなりそうな。
這いよる秘密の質問 (スコア:0)
「八坂」か。
Re: (スコア:0)
そして、大真面目に返答するのではなく、略称や渾名にしたり語尾を変化させる等、いろいろ工夫は出来ますね
例:ナベちゃんだぴょん
Re: (スコア:0)
そんなことをしたらクトゥルフ神話の神様に失礼です。
#神様だったらクトゥルフは使えませんね。
Re: (スコア:0)
Re:パスワード再発行に必要な「秘密の質問」は役立たず (スコア:1)
イズミコ [wikipedia.org]の作ったコンピュータシステム「ケンザブロウ」(シミュレートしたことが現実に反映される)の
パスワードが音声認識で、人間には不可能な発音だったっけ。
イズミコは問題なく発音してたけど。
らじゃったのだ
Re: (スコア:0)
楽天銀行もそうなのだが…自宅からにもかかわらず、ちょくちょく聞いてくる。そりゃフツーのADSLは固定IPじゃないから変わりますって。
都知事の秘密 (スコア:0)
秘密の質問:
「猪瀬さん、好きな病院の名前は?」
「医療法人徳洲会」
Re: (スコア:0)
「秘密」ってところしか掛かってないですね
どこの誰だよ (スコア:0)
一番最初にドヤ顔でこんなアホシステムを始めた諸悪の根源は
Re:どこの誰だよ (スコア:1)
「アリババと40人の盗賊」の作者じゃね?
2段階認証 (スコア:0)
セキュリティのためなら、さっさと2段階認証導入しろよと。
デバイストークンでもいいし、スマホのアプリでもいいし。
アメリカでも金融機関が一番対応遅い。
http://twofactorauth.org/ [twofactorauth.org]
携帯があるぢゃないか ※わかってやってます (スコア:0)
っておいおい、窓口やATMで携帯使うと怪しまれる状況だろw
-- やさいはけんこうにいちば〜ん!