アカウント名:
パスワード:
東京三菱UFJ(の、旧東京三菱系)のオンラインバンキングだと、オンラインで振り込みなどをする場合に、セキュリティカードの数字を聞いてきます。 オンラインバンキングを申し込んだ時に送られてくるプラスチックのカードに、格子状に数字が書いてあり、確認画面で指示された座標(縦軸が数字、横軸がアイウエオとなっていて、「ア-3」みたいな形式)の数字を答える形です。
ところが、聞いてくるのが毎回ランダムなので、実はあまり意味がなかったりします。 というのは、1つの鍵(たとえば「ア-1」の数値)さえ知ってしまえば、あとはオンラインバンキングを使う時、何度かリロードして確認画面を出せば、一定確率で「ア-1」を聞いてきてしまうのです。 なので、キーになる数字は複数ありますが、実際には1個のときとさして強度が変わらなく、せっかくカード媒体でキーを発行しても、キーロガーなどに遭えば意味がないことになってしまうのです。(もちろん、1つの正解を入力するまではその場所固定で聞いてくるようにしても、長期間にわたってキーロガーで情報を読まれてしまったら何の意味もありませんが。)
形式から先に入ってしまい、細部に問題があるために実効性に疑問を感じるセキュリティ対策、というものが世の中、少なからずあるように思えて残念です。
入力したパスワードが何に対するものなのかを隠蔽する意味で、ある程度意味はあるんじゃないでしょうか。何らかのロガーを使ってパスワードを盗もうとした場合、入力側だけのログをとっても、そこで入力されたパスワードが、ア-1のものなのか、ウ-3のものなのかわからないので、画面のログも取る必要が出てきます。
まさか。成功失敗にかかわらず一度トライするまでは同じ番号を聞いてきますから、元コメントが言うようなリロードの繰り返しで特定の行列が出るまで待つのは不可能です。当然トライに失敗すればロックアウトへのカウントが増えます。
>1万分の1の確率なら1万口座もトライすれば1口座は認証パスしちゃうもの。
なんか違うんでないかい。
完全に偏りがない場合、1万回の試行で1回以上成功する確率は1-0.9999^10000=63%程度ですね。100%にはなりません。5万回近い試行でやっと99%を超える成功率になります。
> ただ、偏りがあるはずなので・・・・・。
暗証番号を1234に固定すれば、暗証番号ランダムより確率アップでしょうか。
三菱東京UFJ銀行 [bk.mufg.jp]だよ
英語ではBank of Tokyo-Mitsubishi UFJ [bk.mufg.jp] だから、まあ良しとしましょう。三井住友銀行 [smbc.co.jp] も同じくSumitomo Mitsui Banking Corporation [smbc.co.jp] だし。
# そろそろ、なんとかならんのか# コニカミノルタは、ミノルタコニカになりません# ソニーエリクソンも、エリクソンソニーにはなりません
振込みはほぼ同じ方法です。6桁か7桁の数字が書かれているカードが送られてきて、左から4番目、3番目、5番目、0番目とかを入力しないと振込みは出来ません。まぁそれとこれとは話は違いますが。
たしかSONYバンクも同じ方式だったと思います。あちらは3つぐらいまで登録できるんだっけな?
三菱東京UFJのネットバンキングサービスでは、以前はログイン時に、乱数表の数字を聞いてくる仕様でした。
ところがいつのまにやら、乱数表の数字を聞くのは「金を動かす操作の時」に仕様変更されてしまったようです。
わざわざ弱い方へシフトしたのは、使いにくいと苦情がでたからでしょうか。
#私は残高みられても、同情されるだけだからいいですけど
ログイン時にいつも乱数表を入力させるのは、キーロガーに対する弱点になりますよ。
確率的にでも乱数表の強度を維持するなら、重要な操作に限るのは悪くない選択じゃないかな。
%% 残高見たいだけなのに付加的な認証は面倒なだけってのもある。
そういえば、聞かなくなったのは東京三菱がUFJと統合したくらいからですよね...UFJは前から聞いてこなかったのでしょうか。
東京三菱、三井住友、住信SBIに口座を持っていてネットバンキングを使っていますが、ログイン時に乱数表の数字を聞いてきたのはかつての東京三菱銀行だけでした。あとはログイン名とパスワードのみ。
旧UFJですが契約番号の真ん中にハイフンが入っていて昔は入力欄が二つに分れてたのがシステム統合後は一つになったくらいで特に変わった気がしません。(つまり乱数表の使用は昔から取引時のみです。)
乱数表そのままなので縦横ともに数字(つまり「1-3」形式)です。この位置からこの方向に使ってくれって画像は旧三菱東京の人は別形式のが出るのか......。
旧UFJ(というか旧三和)と旧東京三菱の両方持っていますが、現行システムはほぼ旧UFJのを引き継いでいます。旧東京三菱の乱数表は、5×5の25個ある2桁の数字から「ア-1」(ア列の1行目)を選ぶような方法でした。http://direct.bk.mufg.jp/furiwake_btm.html [bk.mufg.jp] にサンプルがあります。(Q1のカード裏面の図で左から旧東京三菱、旧UFJ、統合後)
で、旧東京三菱から継続している人は今もこの形式です。
#はっきり言って旧東京三菱のシステムはとっても使いつらかったので、#旧UFJ側に統一されてほっとしています。
私は新生銀行も使っているのですが,ログイン時に乱数表が必要です.オンラインバンキングへのログインは口座番号,暗証番号,オンラインバンキング用パスワード,乱数表の4点が必要です.
うーん、口座番号を入力させること自体が危険ですよね。フォームのその項目に入力されたものは、ログインが成功すれば「確かに口座番号である」ことが証明されてしまいます。
暗証番号って、キャッシュカードの暗証番号ですか?だとしたら、口座番号と暗証番号で、非ICキャッシュカードを偽造するハードルがかなり低くなると思うのですが。
盗聴して分析すれば流れてるデータ丸わかりな気が。というかPCに2台のモデムを繋いで、東京三菱UFJとの間に割り込んで通信を中継すれば・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
東京三菱UFJの場合 (スコア:4, 興味深い)
東京三菱UFJ(の、旧東京三菱系)のオンラインバンキングだと、オンラインで振り込みなどをする場合に、セキュリティカードの数字を聞いてきます。
オンラインバンキングを申し込んだ時に送られてくるプラスチックのカードに、格子状に数字が書いてあり、確認画面で指示された座標(縦軸が数字、横軸がアイウエオとなっていて、「ア-3」みたいな形式)の数字を答える形です。
ところが、聞いてくるのが毎回ランダムなので、実はあまり意味がなかったりします。
というのは、1つの鍵(たとえば「ア-1」の数値)さえ知ってしまえば、あとはオンラインバンキングを使う時、何度かリロードして確認画面を出せば、一定確率で「ア-1」を聞いてきてしまうのです。
なので、キーになる数字は複数ありますが、実際には1個のときとさして強度が変わらなく、せっかくカード媒体でキーを発行しても、キーロガーなどに遭えば意味がないことになってしまうのです。(もちろん、1つの正解を入力するまではその場所固定で聞いてくるようにしても、長期間にわたってキーロガーで情報を読まれてしまったら何の意味もありませんが。)
形式から先に入ってしまい、細部に問題があるために実効性に疑問を感じるセキュリティ対策、というものが世の中、少なからずあるように思えて残念です。
Re:東京三菱UFJの場合 (スコア:3, すばらしい洞察)
入力したパスワードが何に対するものなのかを隠蔽する意味で、ある程度意味はあるんじゃないでしょうか。
何らかのロガーを使ってパスワードを盗もうとした場合、
入力側だけのログをとっても、そこで入力されたパスワードが、
ア-1のものなのか、ウ-3のものなのかわからないので、
画面のログも取る必要が出てきます。
Re: (スコア:0)
あと、あの乱数表って利用者毎に数字の並びはバラバラですよね?
Re:東京三菱UFJの場合 (スコア:1, 参考になる)
まさか。
成功失敗にかかわらず一度トライするまでは同じ番号を聞いてきますから、元コメントが言うようなリロードの繰り返しで特定の行列が出るまで待つのは不可能です。
当然トライに失敗すればロックアウトへのカウントが増えます。
Re:東京三菱UFJの場合 (スコア:3, 参考になる)
ウェブの問い合わせフォームから指摘したんですが,「貴重なご意見を賜り実にありがとうございました」の一言でスルーされてしまいました.
いつまであの仕様だったのかなあ.
Re: (スコア:0)
認証失敗によるロックアウトが口座ごとの失敗カウンタのみ、というむごい実装だったために、
同一IPアドレスから間髪を入れずに全口座番号を総当たり攻撃かけられてしまった銀行は。
4桁の数字の暗証番号だけじゃダメに決まってるよね。1万分の1の確率なら1万口座もトライすれば1口座は認証パスしちゃうもの。
銀行には1万どころか膨大な口座があるから、数打てばかなり当っちゃうよね。
オフトピだけど (スコア:1)
>1万分の1の確率なら1万口座もトライすれば1口座は認証パスしちゃうもの。
なんか違うんでないかい。
Re:オフトピだけど (スコア:1)
暗証番号に偏りがなければ、同一の番号を1万の口座に対して試せば突破できるはず。
さらに、トライする数を増やせば突破できる可能性も増える。
ただ、偏りがあるはずなので・・・・・。
Re:オフトピだけど (スコア:2, 興味深い)
完全に偏りがない場合、1万回の試行で1回以上成功する確率は1-0.9999^10000=63%程度ですね。100%にはなりません。
5万回近い試行でやっと99%を超える成功率になります。
> ただ、偏りがあるはずなので・・・・・。
暗証番号を1234に固定すれば、暗証番号ランダムより確率アップでしょうか。
Re: (スコア:0)
どうでもいいけど…(Re:東京三菱UFJの場合) (スコア:0)
三菱東京UFJ銀行 [bk.mufg.jp]だよ
Re: (スコア:0)
英語ではBank of Tokyo-Mitsubishi UFJ [bk.mufg.jp] だから、まあ良しとしましょう。
三井住友銀行 [smbc.co.jp] も同じくSumitomo Mitsui Banking Corporation [smbc.co.jp] だし。
# そろそろ、なんとかならんのか
# コニカミノルタは、ミノルタコニカになりません
# ソニーエリクソンも、エリクソンソニーにはなりません
Re: (スコア:0)
三菱東京UFJの場合、東京三菱だったコロの英語名称がMitsubishi-Tokyoだったらもっと複雑。
名前に関しては相当激しいやり取りがあったと聞きます。
英語と日本語で入れ替えているのもその辺の妥協の産物とのことです。
># そろそろ、なんとかならんのか
名前が長いから簡単な名前にしたらまたすぐ統合っていうさくら銀行やあさひ銀行やもありましたから、
銀行系はあきらめているのかも。
合併したコニミノと共同出資のソニエリは位置づけが違うのでは?
Re: (スコア:0)
振込みはほぼ同じ方法です。
6桁か7桁の数字が書かれているカードが送られてきて、
左から4番目、3番目、5番目、0番目とかを入力しないと振込みは出来ません。
まぁそれとこれとは話は違いますが。
たしかSONYバンクも同じ方式だったと思います。
あちらは3つぐらいまで登録できるんだっけな?
Re: (スコア:0)
三菱東京UFJのネットバンキングサービスでは、
以前はログイン時に、乱数表の数字を聞いてくる仕様でした。
ところがいつのまにやら、乱数表の数字を聞くのは
「金を動かす操作の時」に仕様変更されてしまったようです。
わざわざ弱い方へシフトしたのは、使いにくいと苦情がでたからでしょうか。
#私は残高みられても、同情されるだけだからいいですけど
Re:東京三菱UFJの場合 (スコア:3, すばらしい洞察)
ログイン時にいつも乱数表を入力させるのは、キーロガーに対する弱点になりますよ。
確率的にでも乱数表の強度を維持するなら、重要な操作に限るのは悪くない選択じゃないかな。
%% 残高見たいだけなのに付加的な認証は面倒なだけってのもある。
の
Re:東京三菱UFJの場合 (スコア:1)
そういえば、聞かなくなったのは東京三菱がUFJと統合したくらいからですよね...
UFJは前から聞いてこなかったのでしょうか。
東京三菱、三井住友、住信SBIに口座を持っていて
ネットバンキングを使っていますが、ログイン時に乱数表の数字を聞いてきたのは
かつての東京三菱銀行だけでした。
あとはログイン名とパスワードのみ。
Re:東京三菱UFJの場合 (スコア:1)
旧UFJですが契約番号の真ん中にハイフンが入っていて
昔は入力欄が二つに分れてたのがシステム統合後は一つになったくらいで
特に変わった気がしません。
(つまり乱数表の使用は昔から取引時のみです。)
乱数表そのままなので縦横ともに数字(つまり「1-3」形式)です。
この位置からこの方向に使ってくれって画像は旧三菱東京の人は別形式のが出るのか......。
Re: (スコア:0)
旧UFJ(というか旧三和)と旧東京三菱の両方持っていますが、現行システムは
ほぼ旧UFJのを引き継いでいます。旧東京三菱の乱数表は、5×5の25個ある
2桁の数字から「ア-1」(ア列の1行目)を選ぶような方法でした。
http://direct.bk.mufg.jp/furiwake_btm.html [bk.mufg.jp] にサンプルがあります。
(Q1のカード裏面の図で左から旧東京三菱、旧UFJ、統合後)
で、旧東京三菱から継続している人は今もこの形式です。
#はっきり言って旧東京三菱のシステムはとっても使いつらかったので、
#旧UFJ側に統一されてほっとしています。
新生銀行もログイン時に乱数表が必要 (スコア:1)
私は新生銀行も使っているのですが,ログイン時に乱数表が必要です.オンラインバンキングへのログインは口座番号,暗証番号,オンラインバンキング用パスワード,乱数表の4点が必要です.
屍体メモ [windy.cx]
Re: (スコア:0)
うーん、口座番号を入力させること自体が危険ですよね。
フォームのその項目に入力されたものは、ログインが成功すれば「確かに口座番号である」ことが証明されてしまいます。
暗証番号って、キャッシュカードの暗証番号ですか?
だとしたら、口座番号と暗証番号で、非ICキャッシュカードを偽造するハードルがかなり低くなると思うのですが。
Re: (スコア:0)
ダイアルアップのサービスもあるよ (スコア:0)
Re: (スコア:0)
盗聴して分析すれば流れてるデータ丸わかりな気が。
というかPCに2台のモデムを繋いで、東京三菱UFJとの間に割り込んで通信を中継すれば・・・