パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

金融庁が家計簿アプリ事業などを登録制にする方針を示す」記事へのコメント

  • by Anonymous Coward

    そんなことより他人にパスワード渡すとか頭おかしいって啓蒙しろよ。

    • by gyokuto (45996) on 2016年12月12日 12時51分 (#3128604)

      ですよねー…。
      ReadOnlyのトークン 的なものだったらまだしも、
      お金関係で 全アクセス可能なパス とか、
      セキュリティ万全! とか謳ってても、さすがに渡せねーですわよ…。

      親コメント
      • by Anonymous Coward on 2016年12月12日 13時10分 (#3128612)

        今のまともな銀行の多くは送金にはワンタイムパスワードいりますよ...
        ワンタイムパスワードより以前でも別のパスワードが余分に必要だったし

        親コメント
        • みずほ銀行のトランザクション認証 [security.srad.jp]のMACは8桁なので比較的強度が高いですが、大抵の銀行のワンタイムパスワードは、時刻ベースの6桁の数字です。

          オンラインバンキングなどと連動できる家計簿Webアプリは、その性質上、平文で金融機関のIDとパスワードを保存しています。それが漏えいした場合に、多数のアカウントに対してリバースブルートフォース攻撃を仕掛ければ、不正送金が成功してしまう可能性が高いです。

          毎回乱数で試行するとして、ロックされるまでに1アカウントにつき5回試行でき、50万アカウントが漏えいしたとすると、 1 - (999,999/1,000,000)^(5*500,000) ≒ 0.91791510399 と、90パーセント以上の確率で何れかのアカウントでの不正送金が成功してしまいます。

          (実際には、時刻ベースのワンタイムパスワードは30秒更新なことが多いため、同一のアカウントに対しては完全な乱数ではなく過去の試行とは別の数字にし、30秒以内に新しい数字を試すことで、更に確率を高められます)

          なお、多段階認証の一環として、普段と違う環境(ISP、Cookie、UserAgentなどで判定)からのログインの際に追加認証として秘密の質問への回答を要求する金融機関も増えてきていますが、家計簿Webアプリもそれらの情報の登録を要求しているため、一緒に漏えいすれば同じことです。

          # みずほ銀行は、残高照会・入出金明細照会等専用のアカウントを、普通のインターネットバンキングのアカウントとは別に発行できる [mizuhobank.co.jp] るので、家計簿アプリも安全に使用できます。トランザクション認証への対応と、Webサイト全体の常時HTTPS(TLS)化もしていることから、邦銀の中では最高レベルのセキュリティだと思います。

          親コメント
          • by Anonymous Coward

            みずほに限定しなくても他行でも、機能限定のオンラインバンキングサービスは昔からやってますよ。
            SMBC とかだとこちら [smbc.co.jp]

            セキュリティやオンライン関連に関して、みずほは1年から2年出遅れてることが多いんですけどね。

            • by Anonymous Coward

              三井住友は、トランザクション認証対応してないし、
              インターネットバンキングのパスワードも8文字まで(数年前までは数字4桁)と最低だった

              法人向けは画像読み取り装置付きトランザクション認証が当たり前になってきたけど
              一般個人向けでトークン型のトランザクション認証やってるのは今でもみずほだけ

              過去はどうあれ、今はセキュリティで選ぶなら、メガバンクではみずほに一択
              ネット専業を入れるなら住信のスマホアプリで取引承認する仕組みももなかなか良い

          • by Anonymous Coward

            みずほ銀行でも流出件数が多けりゃ不正送金できる率上がるから同じよ
            全件アタックされて数件しか不正送金成功しないなら十分

            パスワードの桁数なんかよりも、アタックされてることを検出できる体制にしているか、検出されたときどうするかの方が重要
            今の銀行はセキュリティ名目でユーザーに不便を強いる方向にしか動いてなく、実際のセキュリティ意識は残念ながらどこも低いと思う

          • by Anonymous Coward

            何かよく判らないが、振り込め詐欺より遥かに困難なことは理解した

          • by Anonymous Coward

            HTTPSをブロックしていた [security.srad.jp]割にはしっかりとした対応なんですね。

            • みずほ銀行は、

              1. 2014年11月26日以前: HTTPS でアクセス可能だった
              2. 2014年11月27日以降: HTTPS でのアクセスをブロック [security.srad.jp]
              3. 2015年04月10日以降: 再び HTTPS でのアクセスが可能になる [security.srad.jp]
              4. 日付不明: 何故か、また HTTPS でアクセスできなくなる
              5. 2016年10月23日以降: みずほ銀行ホームページの常時SSL化とデザインリニューアルのお知らせ [mizuhobank.co.jp] を公式発表 再び HTTPS でのアクセスが可能になる ← 今ここ

              と迷走を続けていました。

              推測ですが、

              • SHA-2 非対応の古いブラウザやガラケーを切り捨てる決断はなかなかできない
              • Chrome が先行して SHA-1 証明書に対して警告を示す黄色の三角が表示された錠アイコンを表示するなどの対応をとったため、警告マークが表示されるよりは HTTP の方がマシだと判断

              などの理由で、銀行内で意見対立が生じるなどして、迷走してしまったのではないでしょうか。

              新しい告知文章 [mizuhobank.co.jp]には、

              常時SSL化とは、ウェブサイトのすべてのページをhttps化(通信の暗号化)するセキュリティ手法のことで、みなさまに安心してご利用いただけるホームページの実現を目指します。

              なお、常時SSL化するに際しては、サーバ証明書は「SHA–2」方式、通信プロトコルはSSL3.0を廃止しTLS1.0以上となりますので、以下に記載のご利用いただけない環境でご利用の場合は、当行ホームページをご利用いただけない可能性がございますので、バージョンアップ等のご対応をお願いいたします。

              (以下、「常時SSL化によりご利用いただけない環境」を列挙)

              当行ホームページのご利用にあたっては、OS(オペレーティングシステム)がWindows系の場合には、Internet Explorer 11、Firefox 最新版、Google Chrome 最新版を、OSがMac OS Xの場合には、Firefox 最新版またはSafari 最新版をご利用いただくことを推奨します。(強調は引用者)

              と、SHA-1 だけでなく SSL3.0 もはっきり切り捨てる旨が書かれており、また三井住友銀行や三菱東京UFJ銀行が IE をのみを動作確認環境としている中、Firefox・Google Chrome・Safari、しかも「最新版」と明記した上で推奨している点も評価できると思います。

              (SSL 3.0 を廃止しているのに「常時TLS化」や「常時HTTPS化」ではなく、「常時SSL化」と表記している点には違和感を覚えますが……)

              過去の迷走は酷かったけど、今現在のセキュリティ面での対応は素晴らしい と思います。

              親コメント
        • by Anonymous Coward on 2016年12月12日 14時29分 (#3128655)
          PCから振り込むときは、PCと、ワンタイムパスワード発行アプリが入ったスマホがいるのだけど、
          スマホのアプリから振り込んだら、パスワードいらんかったです。
          親コメント
          • by Anonymous Coward

            それはワンタイムパスワードの確認をスキップしてるのではなく
            ワンタイムパスワードの入力の手間をスキップしてるだけのタイプか
            もしくは、アプリ利用開始時に利用登録として口座契約登録の電話番号などで本人確認をして
            利用のスマホの電話番号や固有番号と口座契約者を紐付けして信用担保にしてるのではないでしょうか
            どちらにしろいきなり他のスマホでログインして振り込みはすんなり出来ないと思いますよ

        • by Anonymous Coward

          わざわざ多段階認証にしているのに、自分から穴を開いていくスタイルですね。

      • by Anonymous Coward

        OAuthとか実装するのは金融機関の人たちにはハードル高いだろうし、
        2段階認証によくあるアプリパスワードを発行する形の方が実装しやすいと思うけどな。
        情弱利用者にとっても、OAuthみたいにあっち行ってこっち行って、とかいうのはわかりにくいし、
        下手するとフィッシングにかかりやすい。
        公式サイトでパスワードを発行させて、それでログインしてね、の方がわかりやすい。

        まぁ日本の大企業や金融機関は超保守的でアプリやサービスのUIもクソだし最低限のことしかできないし、期待はしてない。
        とりあえず、モバイルアプリがどこもほぼ例外なくクソなのはなんでなんだろう。iOSで言えば、スワイプで戻る、に対応してないのが基本。
        左上の戻るボタンでしか戻れないとかクソすぎる。
        それから、ログインの時のパスワードをペーストできないところもいくつかある。パスワード管理アプリ使ってると詰む。
        UXって何も考えてないよね。

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...