アカウント名:
パスワード:
三井住友の口座持ちですが、こういう風に対処すればそれなりに安全かと。
* SMBCダイレクトを開設したら、ログインしてとりあえずパスワードをランダムなものに変更する* 初期パスワードがキャッシュカードの暗証番号とかぶっていた場合、最寄りのATMに直行してキャッシュカードの暗証番号を変更する* 帰宅したら以下の手続きをすぐ行う。 - 口座番号ではなく、SMBCダイレクトの顧客番号でしかログインできないように設定する(口座番号への逆総当たり攻撃を阻止) - ワンタイムパスワード制を申し込み、ログインにもワンタイムパスワードが必要なように設定する - テレフォンバンキングを止める
SMBCよりもっとヤバい銀行はいくらでもあるんじゃないでしょうか。某行なんてログインパスワードが最大6桁しか許容されないというふざけた仕組みだし……。(解約したくてたまらないけど諸事情から出来ないので、名前は勘弁して下さい。)
ログインにワンタイムパスワード必須化はかえって危険になるので止めた方が良いです。インターネット専用の第一暗証(4~8桁の英数字)を上限の8文字のランダムな英数字にすれば、オンラインでのブルートフォースアタックは不可能になるので、それで十分。
何故、ワンタイムパスワードを必須にすると危険かというと、ワンタイムパスワードを入力すると、MITB攻撃をされた場合(マルウェア感染や中継型のフィッシングサイトにログイン情報を入れた場合)に、送金までされてしまう危険があるからです。
普段、送金や特殊な変更手続きのときしかワンタイムパスワードを使わない場合、ログインだけでワンタイムパスワードを要求されたらおかしいと気が付けますが、毎回入力していたらそれが悪用されて割り込んだ第三者に不正送金に使われる恐れがあります。MITBの場合、ログインと送金で2回分のワンタイムパスワード入力がいりますが、ログイン時に「ワンタイムパスワードが違います。再度入力してください」と偽のエラーを出せば、時間切れ(ワンタイムパスワードは30秒しか有効でない)か入力ミスがあったのだと思って再入力してしまう恐れがあります。
新しいUA(ブラウザ・アプリ)でログイン→ワンタイムパスワード入力→ログイン成功したらメール通知→ブラウザにセッション(的なもの)保存→以降同一UAからはOTPなし
がスタンダードじゃないですかね。
昔はSMBCダイレクトは顧客番号でしかログインできなかったのに、いつのまにか口座番号でもログインできるようになったんだよな。余計な事をするな、というかんじ。MUFGダイレクトも同じ。顧客番号だけだったところが口座番号もOKになった。
SMBCダイレクトは口座番号でログインできないようにも設定できますよ。
口座番号ログインもテレフォンバンキングも結局、オプトアウトになってないのが問題。
知らない人は危険なまま。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
アカウントロックは極端な反応じゃないかなあ (スコア:0)
三井住友の口座持ちですが、こういう風に対処すればそれなりに安全かと。
* SMBCダイレクトを開設したら、ログインしてとりあえずパスワードをランダムなものに変更する
* 初期パスワードがキャッシュカードの暗証番号とかぶっていた場合、最寄りのATMに直行してキャッシュカードの暗証番号を変更する
* 帰宅したら以下の手続きをすぐ行う。
- 口座番号ではなく、SMBCダイレクトの顧客番号でしかログインできないように設定する(口座番号への逆総当たり攻撃を阻止)
- ワンタイムパスワード制を申し込み、ログインにもワンタイムパスワードが必要なように設定する
- テレフォンバンキングを止める
SMBCよりもっとヤバい銀行はいくらでもあるんじゃないでしょうか。某行なんてログインパスワードが最大6桁しか許容されないというふざけた仕組みだし……。(解約したくてたまらないけど諸事情から出来ないので、名前は勘弁して下さい。)
ログインにワンタイムパスワード必須化は危険 (スコア:1)
ログインにワンタイムパスワード必須化はかえって危険になるので止めた方が良いです。
インターネット専用の第一暗証(4~8桁の英数字)を上限の8文字のランダムな英数字にすれば、オンラインでのブルートフォースアタックは不可能になるので、それで十分。
何故、ワンタイムパスワードを必須にすると危険かというと、ワンタイムパスワードを入力すると、MITB攻撃をされた場合(マルウェア感染や中継型のフィッシングサイトにログイン情報を入れた場合)に、送金までされてしまう危険があるからです。
普段、送金や特殊な変更手続きのときしかワンタイムパスワードを使わない場合、ログインだけでワンタイムパスワードを要求されたらおかしいと気が付けますが、毎回入力していたらそれが悪用されて割り込んだ第三者に不正送金に使われる恐れがあります。
MITBの場合、ログインと送金で2回分のワンタイムパスワード入力がいりますが、ログイン時に「ワンタイムパスワードが違います。再度入力してください」と偽のエラーを出せば、時間切れ(ワンタイムパスワードは30秒しか有効でない)か入力ミスがあったのだと思って再入力してしまう恐れがあります。
Re:ログインにワンタイムパスワード必須化は危険 (スコア:1)
新しいUA(ブラウザ・アプリ)でログイン→ワンタイムパスワード入力→ログイン成功したらメール通知→ブラウザにセッション(的なもの)保存→以降同一UAからはOTPなし
がスタンダードじゃないですかね。
Re: (スコア:0)
昔はSMBCダイレクトは顧客番号でしかログインできなかったのに、いつのまにか
口座番号でもログインできるようになったんだよな。
余計な事をするな、というかんじ。
MUFGダイレクトも同じ。顧客番号だけだったところが口座番号もOKになった。
Re: (スコア:0)
SMBCダイレクトは口座番号でログインできないようにも設定できますよ。
Re: (スコア:0)
口座番号ログインもテレフォンバンキングも
結局、オプトアウトになってないのが問題。
Re: (スコア:0)
知らない人は危険なまま。