アカウント名:
パスワード:
さっさとOTP必須にしろよ、でFAだと思ってる。
> さっさとOTP必須にしろよ、でFAだと思ってる。
OTPはフィッシング対策としてはまったくもって不十分です。フィッシング側でOTP入力を本物のサーバーにリレーする(MITM攻撃)と簡単に破れるので。
またスマホや携帯のブラウザだと、URLバーのアドレス確認が面倒くさいので、PCよりもフィッシング攻撃に弱い側面もありますね。
でも、フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。
> フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。
えー?「ブラウザのURLバーをしっかり確認する」でFAでは?リテラシーとして、これは必須だし、今のところ十分な対策でしょう。(国際化ドメイン名とR2Lでフガホゲとかは懸念材料ですが、まだ聞いたことはない)。OTPに比べても穴が少ない上、安価。
「ブラウザのURLバーをしっかり確認する」で何が確認できるんだ。(ブラウザやプラグインのチェック機能の結果を確認?)URL見ただけで正しいものと正しくないものを十分な精度と範囲で区別できる人間がいるとは思えない。(ごく限られたもののみになるのではないか?)だいたいURLを偽装する(URLそのものの偽装ではなくて、接続先を偽装する事も含む)のは最初の一歩だと思うのだが
ちょっと何言ってるのか本気でわからない。誰か翻訳おねがい
http://takagi-hiromitsu.jp/diary/20041215.html [takagi-hiromitsu.jp]でリンク、引用してるようなURLのドメイン部分確認作業のことでしょ。高校あたりで教えなきゃいけない常識だよね、これ。
R2Lは、RLOの別名。「RLO 対策」でググれば分かると思う。
あ、本気でわからないってのは、#2501430 のポストの方か。スラドでもリテラシー教育を否定するタイプはいるってことでは?銀行のような重要サイトなら、EV-SSLな証明書とってるだろうし、その確認なら、高校生程度の教養と、適切なリテラシー教育があれば、殆どの人ができると思うけどねえ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
それはタレコミの解釈が違うような (スコア:5, 参考になる)
>登録いただくメールアドレスは、受信後すぐにご確認いただけるよう、
>スマートフォンや携帯電話のメールアドレスをご登録ください。
>第三者による不正利用が発生した際の、早期発見につながります。
と書いてある。
スマホや携帯なら手元にあって確認しやすいと考えているということでしょう。
みずほはやってないけど、他の銀行では複数のメールアドレスを登録できるところもあるので、
そういう方法もありではないか。
それ以外にも、みずほのパスワードは
>アルファベットと数字を組み合わせた6桁~32桁のパスワードを入力
となっているけど、
三菱東京UFJみたいに
>半角英数字と半角記号の組み合わせで8桁以上16桁以内でご入力ください。記号は必須です。
>利用可能な記号は # $ + - . / : = ? @ [ ] ^ _ ` | です。
にするとか、やるべきことは他にもあるとは思うけど。
Re: (スコア:0)
さっさとOTP必須にしろよ、でFAだと思ってる。
Re: (スコア:1)
> さっさとOTP必須にしろよ、でFAだと思ってる。
OTPはフィッシング対策としてはまったくもって不十分です。
フィッシング側でOTP入力を本物のサーバーにリレーする(MITM攻撃)と簡単に破れるので。
またスマホや携帯のブラウザだと、URLバーのアドレス確認が面倒くさいので、PCよりも
フィッシング攻撃に弱い側面もありますね。
Re: (スコア:1)
でも、フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。
Re: (スコア:0)
> フィッシング対策として有効な認証方法ってリスク分析くらいしかないような気がします。
えー?
「ブラウザのURLバーをしっかり確認する」でFAでは?
リテラシーとして、これは必須だし、今のところ十分な対策でしょう。
(国際化ドメイン名とR2Lでフガホゲとかは懸念材料ですが、まだ聞いたことはない)。
OTPに比べても穴が少ない上、安価。
Re: (スコア:0)
「ブラウザのURLバーをしっかり確認する」で何が確認できるんだ。(ブラウザやプラグインのチェック機能の結果を確認?)
URL見ただけで正しいものと正しくないものを十分な精度と範囲で区別できる人間がいるとは思えない。(ごく限られたもののみになるのではないか?)
だいたいURLを偽装する(URLそのものの偽装ではなくて、接続先を偽装する事も含む)のは最初の一歩だと思うのだが
Re: (スコア:0)
ちょっと何言ってるのか本気でわからない。
誰か翻訳おねがい
Re:それはタレコミの解釈が違うような (スコア:1)
http://takagi-hiromitsu.jp/diary/20041215.html [takagi-hiromitsu.jp]
でリンク、引用してるようなURLのドメイン部分確認作業のことでしょ。
高校あたりで教えなきゃいけない常識だよね、これ。
R2Lは、RLOの別名。「RLO 対策」でググれば分かると思う。
Re: (スコア:0)
あ、本気でわからないってのは、#2501430 のポストの方か。
スラドでもリテラシー教育を否定するタイプはいるってことでは?
銀行のような重要サイトなら、EV-SSLな証明書とってるだろうし、
その確認なら、高校生程度の教養と、適切なリテラシー教育があれば、
殆どの人ができると思うけどねえ。