パスワードを忘れた? アカウント作成
10790247 story
セキュリティ

イオン銀行が「秘密の質問」を導入 55

ストーリー by hylom
質問を自分で作れるだけマシか 部門より
あるAnonymous Coward 曰く、

イオン銀行がセキュリティ強化のため、「秘密の質問」による認証を導入した。

以前パスワード再発行に必要な「秘密の質問」は役立たずという話題があったが、イオン銀行については

普段のご利用環境と異なると判断した場合に、事前にお客さまにご登録いただいた「質問」に対する「答え」(合言葉)をご入力いただくことで、お客さまご本人のご利用であることを確認します

という仕組みだそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 「秘密の質問」、という機能の名前だけで考えちゃうと、「無いほうがマシ」と考えてますが

    1.「その他」を選び、質問文を作れる、まあ特定個別の情報の解答にはしなくてもよいのが明確な選択肢としてある、ということ
    2.上記にもあるけど、普段と違うときの認証(リスクベース認証)
    3.普通にログインしてから、修正できる(その際は決済用の取引パスワードが必要)

    ので、既存の「秘密の質問」のトラブルはまあ回避は可能かなと
    正直、ここまでするなら、専用ランダムコードを事前発行する系(たとえばGoogleとかで二要素認証使う時のリセット用みたいな)でいいんじゃないかという気もしないでもないけどねー。

    # ログインパスワード、決済時の数表(テレフォンバンキングでも使うんだっけ?)、オンライン決済は決済パスワード、とあってさらにコレってのは凄い大変だろうな、とも思うけど...

    --
    M-FalconSky (暑いか寒い)
    • by Anonymous Coward

      いつも思うが秘密の質問じゃなくて第二パスワードじゃだめなのか?

      • #2569805 [srad.jp]にあるような横取り対策、なんですかね?

        用途としては、そのものズバリではありますね。
        # 3つある、質問が表示される。が必要なのかなー。
        # とはいえ、横取りされなくても、セッション上でニセ送金とかされたらそれまでだよなぁ。

        --
        M-FalconSky (暑いか寒い)
        親コメント
      • by Anonymous Coward

        それだと暗記がますます難しくなるし、紙なり暗号化されたファイルなりに記録しておくとなると、それらがクラックされたときに2つのパスワードが同時に流出しまうことになる。2つのパスワードを確実に分離しておくには、一方を確実に暗記できるものにしておいて記録しなくてもいいようにするのが最も手軽な手段。

        もちろん、秘密の質問の解答を素直なものにしておくと、友人・知人には分かってしまうという危険性はあるが、第一のパスワードの強度には全く影響しないから、より安全な方向になることはあっても、より危険なものになることはない。

        2つのパスワードを用意できるのなら連結して1つのパスワードにしてしまって、それに秘密の質問を付加する方がずっと強固。

        • by Anonymous Coward

          安全度を下げたくないならパスワードだけのほうがよいのでは。

          • by nim (10479) on 2014年03月27日 10時54分 (#2570049)

            >安全度を下げたくないならパスワードだけのほうがよいのでは。

            今回の事例は、「パスワードを忘れても秘密の質問でログインできる」ではなくて、
            「パスワードは当然合ってないといけないけど、それでも怪しい(普段は東京から Chrome でアクセスしてるのに、
            突然中国から謎の UA でログインしようとした)場合に、秘密の質問*にも*回答できないと先に進めない」という方式ですよ。

            それがなぜ、「安全度を下げたくないならパスワードだけのほうがよい」になるのか説明していただけますか?

            親コメント
    • by Anonymous Coward

      秘密の質問: 役立たず
      答え:

  • by iwakuralain (33086) on 2014年03月27日 10時34分 (#2570035)

    忘れるやつは忘れる

  • by Anonymous Coward on 2014年03月26日 22時35分 (#2569834)

    『「秘密の質問」と「質問の答え」は第三者が推測しにくいものをご登録ください。』って言っておきながら、秘密の質問の候補に出てくるのが『卒業した小学校は?』『実家の最寄り駅は?』とかいうものを候補に出しちゃうのってどうなのよ?

  • 個人情報を収集しているだけだったりしてな。

    • by Anonymous Coward on 2014年03月26日 20時46分 (#2569772)

      > なぜ秘密の質問が流行るのか

      入電数を減らして、サポートに掛けるコストを下げるため。
      本当に人件費削減に役立ってるのか、効果の程は知りませんが。

      パスワードなんか生で保存してないし、保存してたところで教えられるものでもないのに
      「パスワード忘れました」といってくる奴は後を絶たない。

      パスワードリセット機能を設けていても、登録時のメールアドレスは使えなくなっている
      とかで、やっぱり電話窓口に問い合わせてきやがるのですよ。

      親コメント
      • by Anonymous Coward

        そういう人たちが、自分で設定した「秘密の答え」を覚えてるとは思えないんだけどなぁ。

        自分は「秘密の・・・」は最初から使わないつもりだからいつも適当な文字列を入力してとりあえずパスしてる。
        後で必要になった時に問題になるだろうけど、今のところ困ったことはない。

        • by Anonymous Coward

          まだセキュリティに関して今ほど詳しくなかった頃、秘密の質問に真面目に回答していたんですが、それでも『母の旧姓は?』に「漢字?ひらがな?カタカナ?どれで入力したっけ?」となったことが何度も。

      • by Anonymous Coward

        > やっぱり電話窓口に問い合わせてきやがるのですよ。

        見境なく誰でも客にするからそういう人が現れるんだよ。

        問い合わせてきやがられるのが嫌なら、そういう人が
        会員になれないような工夫をすりゃいいのに。

        • by Anonymous Coward
          スーパーの客全員を囲い込もうって業界で何言ってんだ。
          • by Anonymous Coward

            全員囲い込み戦略をとっている時点で負けだから、あほやモンスタークレーマーの相手をするための人件費は最初から織り込むべきだな。

            • by Anonymous Coward
              必要なコストは盛り込んだ上で削減の努力をするのはまさに正しい施策だと思うが?
      • by Anonymous Coward
        実店舗で
        「カードなくしました」
        「通帳もなくしました」
        「身分証も持ってません」
        「口座番号も忘れました」
        「暗証番号も忘れました」
        なんて客にゃいちいち応対しないんだし。
        それで窓口でゴネてりゃ警備員に連れて行かれて110番でしょ。

        ネット銀行はもっと慇懃無礼でいいんじゃない?
        そういったところをカジュアルに緩めてるからセキュリティが確保できないんだと思うよ。
        • by Anonymous Coward
          普通の銀行ならカードや通帳紛失の処理くらいマニュアル化されてて親身に相談にのってくれるよ。家から出たことない人には分からないだろうけど。
          • by Anonymous Coward
            時代は変わったな。
            しばらく前、盗難でカードと通帳を失って店頭に届けたら、まぁ本当に絵に描いたような慇懃無礼な対応だったのです。
            本人確認した後の豹変ぶりも凄かった。
            でも、そのくらいでちょうどいいと思ってる。
            • by Anonymous Coward

              警察に盗難届けを出して受理票もらってこい
              話はそれからだってやつ?

    • by Anonymous Coward

      セキュリティ最大手のRSAが推進してて、RSAはNSAとの密約が噂されてることを考えるとアリエール。
      一昔前に流行ったバッドノウハウとかいうやつですか、もうやめてくださいよ・・・

    • by Anonymous Coward

      R銀行がまさにそれとしか思えなかった。
      毎回毎回質問してきやがって...

      • by Anonymous Coward

        >R銀行
        まるでロボットが運営してるみたいに見える。
        楽天なんだろ?
        無意味だからそういうの止めようぜ。
        # 略字でも伏せ字でも名誉毀損は成立するから意味ないって意外と知られていない

    • by Anonymous Coward

      今更だけどApple IDを作成してみようとして、秘密の質問(固定)と答えを3つも要求されたので、嫌になって止めたんだよね。
      もしかして以前もこれが嫌で作成しなかったのかも?

      • by Anonymous Coward

        今なら、二段階認証を使えば
        秘密の質問は使わないです。

    • by Anonymous Coward

      個人認証って突き詰めたら個人情報との突き合わせですけど?

  • っと思ったが、
    パスワード + 状況に応じて秘密の質問
    なのですね。

    普段と違うIPの場合に聞くとかかな?

  • by Anonymous Coward on 2014年03月26日 21時24分 (#2569792)

    秘密の質問:
    「猪瀬さん、好きな病院の名前は?」
    「医療法人徳洲会」

    • by Anonymous Coward

      「秘密」ってところしか掛かってないですね

  • by Anonymous Coward on 2014年03月26日 22時26分 (#2569825)

    一番最初にドヤ顔でこんなアホシステムを始めた諸悪の根源は

  • by Anonymous Coward on 2014年03月26日 23時52分 (#2569869)

    セキュリティのためなら、さっさと2段階認証導入しろよと。
    デバイストークンでもいいし、スマホのアプリでもいいし。
    アメリカでも金融機関が一番対応遅い。
    http://twofactorauth.org/ [twofactorauth.org]

  • 携帯電話にその時用のワンタイムコードを送ればいいんですよ

    っておいおい、窓口やATMで携帯使うと怪しまれる状況だろw
    --
    -- やさいはけんこうにいちば〜ん!
typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...