アカウント名:
パスワード:
パスワードをマメに変更すると言うことは、覚えきれないのでどこかに紙に書いたり、エディタにメモったりする機会が増えると言うこと。となれば、その紙だのデータだのそのものが漏洩しやすくなる。
一度パスワードを決めたら動かす必要がない、というほうが安全。
未だに銀行のネットバンキングにログインすると「パスワードが長期間更新されていません」とか出る。何かあったときの責任逃れのためかとすら思える。
一番最後の文字を"1"にする。expire されたら"2"にする。さらにexpireされたら"1"に戻す。なんて余計な作業が発生するだけだったりしますね。
「直前3回までに使用されたパスワードは使用出来ません」
#そして0→9のループが始まる
モデムのリダイヤル規制を突破するためのワザを思い出して感慨に耽ってしまった
ジャパンネットバンクは8文字しか使えません。なんとかしろと。
取引に関してはワンタイムパスワードのハードウェアトークンの運用でガードしているという立場ではないでしょうか。確かに、ログインできてしまうと通帳の中とかはぞかれまくりのような気はしますが、そこから先には進めないはずです。
# パスワード運用をするなら、もっと長いパスワードを使わせろ、という点については同意です。# あるいは、ログイン自体用にもう一本ワンタイムパスワードのトークン出してくれるとか(で、どっちがどっちかわからなくなったりして。笑)。
俺、未だに数字4桁なんだが。
利用文字の変更などの制限変更に対して、その新制約に合致させるという点では定期的に変更することを促してもいいかもしれない。
……いや。すまん。 やっぱ、定期的である理由ないな。
# さすがにA.C.
『標準に準拠してないから総当り攻撃に強い』とか言い出すところが出てくる予感…
>どこかに紙に書いたり、エディタにメモったりする機会が増えると言うこと。>となれば、その紙だのデータだのそのものが漏洩しやすくなる。
それは定期的変更とは関係無い。
各サイト毎に全て異なるパスワードを使ってれば、(そしてそれは適切なパスワード運用に必要不可欠だが、)普通は既に紙のメモを金庫に入れるなり、暗号化したテキストファイルをUSBメモリに入れるなりして管理してるでしょ?
>未だに銀行のネットバンキングにログインすると流石にネットバンキングは別格でいいと思うよ。財産がかかってるから。
>何かあったときの責任逃れのためかとすら思える。
それは大いに感じるが、某ネットバンクではパスワード長が最大8桁なので、万に何十かの確率でやられるかも知れない。仕方ないので不本意ながら指示に従って変更しています。「指示通りに変更していたのだから利用者の過失はない」というためのアリバイ作りですな。なんだかなあ。。。
それでOTPなんてのもあるわけだけど、それを送る先のメールアドレスとして、PCはセキュリティが弱いからケータイにしろと言ってくる銀行がある。そういうものなのだろうか。OTPの送信先メールアドレスをケータイにしないと、振り込み上限金額なんかの制限が厳しくなるんだけど、謎なのはOTP使わないサービスまで制限が厳しくなること。
ちなみにその銀行、もうメール使ったOTPは諦めたのかトークンに切り替えるそうだけど。
PC向けにメールで通知するタイプのOTPに関しては、それを読み取るマルウェアによって実際に被害が出ている [naver.jp]ので…
そこは、かつて口座番号を書き換えるだけで他人の口座情報にアクセスできるという、画期的なシステムを使ってたとこでしょ?
恥ずかしながら私もユーザーなうのですが、OTPデバイスを受け取るために一度は店舗に出向かないといけないらしい・・・。投資信託の口座を持っていると住所変更の手続きをネットで行なえず、本人確認が必要なんだとか。堅いんだかザルなんだか、よく分からない銀行です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
銀行とか変更しろ変更しろ言ってくる (スコア:1)
パスワードをマメに変更すると言うことは、覚えきれないので
どこかに紙に書いたり、エディタにメモったりする機会が増えると言うこと。
となれば、その紙だのデータだのそのものが漏洩しやすくなる。
一度パスワードを決めたら動かす必要がない、というほうが安全。
未だに銀行のネットバンキングにログインすると
「パスワードが長期間更新されていません」
とか出る。何かあったときの責任逃れのためかとすら思える。
Re:銀行とか変更しろ変更しろ言ってくる (スコア:3)
一番最後の文字を"1"にする。
expire されたら"2"にする。
さらにexpireされたら"1"に戻す。
なんて余計な作業が発生するだけだったりしますね。
Re: (スコア:0)
「直前3回までに使用されたパスワードは使用出来ません」
#そして0→9のループが始まる
Re: (スコア:0)
モデムのリダイヤル規制を突破するためのワザを思い出して感慨に耽ってしまった
Re:銀行は使える文字を何とかして欲しいよ。 (スコア:2)
ネットバンキングを扱っている銀行によってこんなに違うわけです。
・英数字+記号(# $ + - . / : = ? @ [ ] ^ _ ` | )が使える
・英数字大文字小文字区別
・英数字区別なし
・数字のみ
数字のみなんてホントいいのかって思いますよね。
Re:銀行は使える文字を何とかして欲しいよ。 (スコア:1)
ジャパンネットバンクは8文字しか使えません。
なんとかしろと。
Re: (スコア:0)
取引に関してはワンタイムパスワードのハードウェアトークンの運用でガードしているという立場ではないでしょうか。
確かに、ログインできてしまうと通帳の中とかはぞかれまくりのような気はしますが、そこから先には進めないはずです。
# パスワード運用をするなら、もっと長いパスワードを使わせろ、という点については同意です。
# あるいは、ログイン自体用にもう一本ワンタイムパスワードのトークン出してくれるとか(で、どっちがどっちかわからなくなったりして。笑)。
ところで……mixiのログインなんぞ (スコア:0)
俺、未だに数字4桁なんだが。
利用文字の変更などの制限変更に対して、その新制約に合致させるという点では
定期的に変更することを促してもいいかもしれない。
……いや。すまん。 やっぱ、定期的である理由ないな。
# さすがにA.C.
Re: (スコア:0)
ちょっと調べただけでは分かりませんでしたが、そういうのがあって、国とかが銀行に対して一斉に対応しろと指示すれば簡単なんですけどね・・・。
Re: (スコア:0)
『標準に準拠してないから総当り攻撃に強い』とか言い出すところが出てくる予感…
Re:銀行とか変更しろ変更しろ言ってくる (スコア:1)
>どこかに紙に書いたり、エディタにメモったりする機会が増えると言うこと。
>となれば、その紙だのデータだのそのものが漏洩しやすくなる。
それは定期的変更とは関係無い。
各サイト毎に全て異なるパスワードを使ってれば、
(そしてそれは適切なパスワード運用に必要不可欠だが、)
普通は既に紙のメモを金庫に入れるなり、暗号化した
テキストファイルをUSBメモリに入れるなりして管理してるでしょ?
>未だに銀行のネットバンキングにログインすると
流石にネットバンキングは別格でいいと思うよ。
財産がかかってるから。
Re:銀行とか変更しろ変更しろ言ってくる (スコア:1)
>何かあったときの責任逃れのためかとすら思える。
それは大いに感じるが、某ネットバンクではパスワード長が最大8桁なので、万に何十かの確率でやられるかも知れない。
仕方ないので不本意ながら指示に従って変更しています。
「指示通りに変更していたのだから利用者の過失はない」というためのアリバイ作りですな。
なんだかなあ。。。
ケータイメール(おふとぴ) (スコア:0)
それでOTPなんてのもあるわけだけど、それを送る先のメールアドレスとして、PCはセキュリティが弱いからケータイにしろと言ってくる銀行がある。そういうものなのだろうか。
OTPの送信先メールアドレスをケータイにしないと、振り込み上限金額なんかの制限が厳しくなるんだけど、謎なのはOTP使わないサービスまで制限が厳しくなること。
ちなみにその銀行、もうメール使ったOTPは諦めたのかトークンに切り替えるそうだけど。
Re: (スコア:0)
PC向けにメールで通知するタイプのOTPに関しては、それを読み取るマルウェアによって実際に被害が出ている [naver.jp]ので…
Re: (スコア:0)
そこは、かつて口座番号を書き換えるだけで他人の口座情報にアクセスできるという、画期的なシステムを使ってたとこでしょ?
恥ずかしながら私もユーザーなうのですが、OTPデバイスを受け取るために一度は店舗に出向かないといけないらしい・・・。投資信託の口座を持っていると住所変更の手続きをネットで行なえず、本人確認が必要なんだとか。
堅いんだかザルなんだか、よく分からない銀行です。