パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

三菱東京UFJ銀行、個人向けネットバンキングで乱数表を完全に廃止へ」記事へのコメント

  • メガバンクの個人向けネットバンキングサービスの中では 物理トークンを使ったトランザクション署名 [mizuhobank.co.jp] に対応している、みずほ銀行が圧倒的に安全です。

    三菱東京UFJ銀行のパスワードカード [bk.mufg.jp] や 三井住友銀行のパスワードカード [smbc.co.jp] や ゆうちょ銀行のワンタイムパスワード生成機 [japanpost.jp]は、トークン(たぶん Digipass)自体は、トランザクション署名対応なのにも関わらず、銀行側が対応していないため、単なるワンタイムパスワード発行機としてしか使用できません。

    みずほ銀行のトランザクション署名は、中継型フィッシング・パソコンやスマホが遠隔操作やマルウェアによるMITBの影響下にあっても、トークンに振込先口座番号を入力しない限り(振込先の口座番号固有のワンタイムメッセージ認証コードを発行しない限り)は、不正振込を防げるという優れものです。せっかく大規模なシステム変更をするならば、他行はみずほ銀行を見習って安全な方式を導入すべきだったと思います。

    スマホを利用した認証方法については、PCで振込してスマホで認証するならともかく、スマホのみで完結しようとしたらスマホ1要素の認証にしかなっておらず、スマホがマルウェアに感染した場合に安全性が保てないので危険です。OSの月例パッチすらあたっていないまま放置された Android スマホは root 権限が悪意のある第三者に奪われる恐れがあり、認証アプリ自体の安全性が保てません。

    利便性のためにスマホでの認証の選択をユーザーに与えるだけならともかく、せっかくの トランザクション署名対応のテンキー付きトークン [bk.mufg.jp] を導入しているのに、それを単なるワンタイムパスワード生成器としてしか使えない三菱東京UFJ銀行のシステムは糞としか言いようがありません。

    • by Anonymous Coward

      ×三菱東京UFJ銀行
      〇三菱UFJ銀行
      名前変わったの知らんのか?

    • by Anonymous Coward

      過剰すぎるガラパゴスセキュリティは普及せず死ぬだけ

      • by Anonymous Coward

        世界的に有名なHSBCは、トランザクション認証トークン必須なの知らないの?
        更には引き出しなどがリアルタイムでSMS通知されるんだぜ

      • by Anonymous Coward

        世界のこと知らんのにガラパコス語るな
        むしろ日本のセキュリティが遅れているんだぞ
        中国ですら5年以上前から電卓型security deviceが普及してたぞ
        すごいことに日本のソレと違って中国のはちゃんとsecurity deviceのテンキーが機能して相手account no.をinputしてMACをoutputできる

        一方、日本のsecurity deviceのテンキーは飾りで機能しない(笑)
        見せかけだらけの張りぼて作るのは昔は中国の方だったが、今それやるのは日本になってしまった

        • by Anonymous Coward

          中国凄いよね
          VISAやマスターはいまだに4桁暗証番号orサイン認証だけど
          銀聯カードは6桁PINとサインの両方に加え、決済したらすぐにスマホに決済情報書かれたSMS届くからな
          どんどん発展していて最先端の技術が導入されていってるから日本も頑張らないと差を付けられちゃう

          • by Anonymous Coward

            凄いわりには金融犯罪が多かったら意味ないんだよね

        • by Anonymous Coward

          張りぼてセキュリティはものすごく悪い意味で立派なガラパゴスだろう。
          「過剰セキュリティ」というのはちょっと違うが。

    • by Anonymous Coward

      ウイルス感染を考えたら一要素認証にしかなってないぞってのはサポートに突っ込んだんだけど、
      「心配だったらカード型をご利用ください」で回答されたよ。
      何度も「確認してまいります」うぃ繰り返されて回答もらうまで30分くらいかかったが。

      • by Anonymous Coward

        電凸してくれたか有難き幸せ
        BTMUはいまだにサイトも常時SSLじゃないしセキュリティ面でのセンスが無さ過ぎるわ

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...