パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

みずほ銀行オンラインバンキングサービスの何とも微妙なセキュリティ設定」記事へのコメント

  •  東京三菱UFJ(の、旧東京三菱系)のオンラインバンキングだと、オンラインで振り込みなどをする場合に、セキュリティカードの数字を聞いてきます。
     オンラインバンキングを申し込んだ時に送られてくるプラスチックのカードに、格子状に数字が書いてあり、確認画面で指示された座標(縦軸が数字、横軸がアイウエオとなっていて、「ア-3」みたいな形式)の数字を答える形です。

     ところが、聞いてくるのが毎回ランダムなので、実はあまり意味がなかったりします。
     というのは、1つの鍵(たとえば「ア-1」の数値)さえ知ってしまえば、あとはオンライン

    • by Anonymous Coward
      何度もリロードを許すハッピーな仕様なんですか?>糖密UFJ
      あと、あの乱数表って利用者毎に数字の並びはバラバラですよね?
      • Re: (スコア:1, 参考になる)

        by Anonymous Coward

        まさか。
        成功失敗にかかわらず一度トライするまでは同じ番号を聞いてきますから、元コメントが言うようなリロードの繰り返しで特定の行列が出るまで待つのは不可能です。
        当然トライに失敗すればロックアウトへのカウントが増えます。

        • by Anonymous Coward
          10年も昔の話なので、既に十分に対策されているだろうから、話題にしても構わないと思いますが、
          認証失敗によるロックアウトが口座ごとの失敗カウンタのみ、というむごい実装だったために、
          同一IPアドレスから間髪を入れずに全口座番号を総当たり攻撃かけられてしまった銀行は。

          4桁の数字の暗証番号だけじゃダメに決まってるよね。1万分の1の確率なら1万口座もトライすれば1口座は認証パスしちゃうもの。
          銀行には1万どころか膨大な口座があるから、数打てばかなり当っちゃうよね。
          • >1万分の1の確率なら1万口座もトライすれば1口座は認証パスしちゃうもの。

            なんか違うんでないかい。

            • 理論的には間違ってないと思ふ。(笑)
              暗証番号に偏りがなければ、同一の番号を1万の口座に対して試せば突破できるはず。
              さらに、トライする数を増やせば突破できる可能性も増える。
              ただ、偏りがあるはずなので・・・・・。
              • by taka2 (14791) on 2009年07月15日 11時18分 (#1605106) ホームページ 日記

                完全に偏りがない場合、1万回の試行で1回以上成功する確率は1-0.9999^10000=63%程度ですね。100%にはなりません。
                5万回近い試行でやっと99%を超える成功率になります。

                > ただ、偏りがあるはずなので・・・・・。

                暗証番号を1234に固定すれば、暗証番号ランダムより確率アップでしょうか。

                親コメント
              • by Anonymous Coward
                年月日として有効な366通りの数字列にすれば、他の9634通りの数字列より収穫率が上がるでしょう。あと、1234, 1111等は設定不可としていることが多いので、少なくともこれらは除いた方が効率良いでしょう。

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...