アカウント名:
パスワード:
しかも、ここは「秘密の質問」が良くないと言われ始めた頃に導入した(つまり割と最近)というズレっぷり。
最近、JCBのカード作ったけど、最近導入だったんかい。JCBは未来、なさそう
> JCBは未来、なさそう
当時JCB THE CLASSのインビテーションを目指してがんばってJCBプロパーで決済していたけど、「秘密の質問」導入で呆れてしまって、以降はJCB GOLD THE PREMIERのサービス年会費が無料になる範囲でしか使ってない。
JCBが潰れれば、ディズニーランドとシーでスポンサー降りることになって園内でPayPay使えるようになるだろうなJCBのアプリやクレカ内で電子マネー使うようにできないなら、不便すぎるんだわ
JCBが降りたら、スポーンサーでもありオーナー(社員)でもある三井住友系の VISA が幅をきかせるだけでは?
すっぽんぽんさー?(難聴
プロパーカードでのJCB Contactlessと、非FelicaスマホでのGoogle Payマダー。
最近のカードリーダーは勝手にEMV読み取りモードにはいるのでいちいち固有名詞を指定する必要がない。
単に「クレジットで」もしくは「カードで」と言えばいい。カードリーダーにとって「磁気カード通す」「ICチップ読ませる」「タッチする」は等価。固有サービス名の指定が必要なFelicaベースの電子マネーの方が先に廃れそうな予感。
あと反応速度の話だけど、FelicaがA/Bより高速って嘘かもね。実際に使ってみるとVISAタッチ決済も一瞬で終わる。
実態として店員は困ってるんで、オペレーションを考慮した実装が出来ていないのは事実だよ
それカードリーダーの方が古すぎるんじゃない?今はカードを渡さずに客が差し込むのが標準。元々店員の不正対策だったけど、コロナ禍で一気に置き換わった。
で、カードリーダーのディスプレイ部分が光る奴はタッチ決済にも対応してる。店員がコンタクトレスの存在を知らなくてもタッチすれば決済が勝手に進む。(店員が見てる画面はカードリーダー通した時と同じように支払回数とか求める画面に遷移する)
あれ、オンライン決済の時にやられると非常に迷惑だよね。
関連リンクにあるJCBプリペイドの件 [security.srad.jp]もまだ修正されてないですからね
セキュリティの専門家から脆弱だと指摘されているのは、パスワードの代替としての「秘密の質問」(パスワードリセット用)です。JCBの「秘密の質問」は、IDとパスワードでログインした後に聞かれるので、多要素目的としての正しい実装です。
何をもって多要素というのかは実は曖昧なのですが、どの主要ブラウザもパスワードをブラウザに保存できるようになっているので、パスワード自体は今はもう「所持情報」と同義になっているのではないでしょうか。それに加えて、「知識情報」を加えるというのは正しいです。
スマホ落とすかもしれないし、リスト型攻撃でIDとパスワードがクラックされるかもしれませんからね。ログインのたびにSMSやTOTPやるのはやりすぎだし、現実的にはまともな対策かと思います。
秘密の認証が無数に用意されてるならともかく、3つ程度ならロガーに3つ分記録されてしまえば終わりなので知識情報とは言えない。銀行でよくある「番号表」の強度すら保てていない。
単にめんどくさいだけで意味ないのに「セキュリティ保ってる気分」になるのでむしろ有害。ネット系銀行ならSMSもTOTPも今となっては常識だし素直にこっちでいい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
JCB (スコア:0)
しかも、ここは「秘密の質問」が良くないと言われ始めた頃に導入した(つまり割と最近)というズレっぷり。
Re: (スコア:0)
最近、JCBのカード作ったけど、最近導入だったんかい。
JCBは未来、なさそう
Re: (スコア:0)
> JCBは未来、なさそう
当時JCB THE CLASSのインビテーションを目指してがんばってJCBプロパーで決済していたけど、
「秘密の質問」導入で呆れてしまって、以降はJCB GOLD THE PREMIERのサービス年会費が無料になる範囲でしか使ってない。
Re: (スコア:0)
JCBが潰れれば、ディズニーランドとシーでスポンサー降りることになって園内でPayPay使えるようになるだろうな
JCBのアプリやクレカ内で電子マネー使うようにできないなら、不便すぎるんだわ
Re: (スコア:0)
JCBが降りたら、スポーンサーでもありオーナー(社員)でもある三井住友系の VISA が幅をきかせるだけでは?
Re: (スコア:0)
すっぽんぽんさー?(難聴
Re: (スコア:0)
プロパーカードでのJCB Contactlessと、非FelicaスマホでのGoogle Payマダー。
Re:JCB (スコア:1)
最近のカードリーダーは勝手にEMV読み取りモードにはいるのでいちいち固有名詞を指定する必要がない。
単に「クレジットで」もしくは「カードで」と言えばいい。
カードリーダーにとって「磁気カード通す」「ICチップ読ませる」「タッチする」は等価。
固有サービス名の指定が必要なFelicaベースの電子マネーの方が先に廃れそうな予感。
あと反応速度の話だけど、FelicaがA/Bより高速って嘘かもね。
実際に使ってみるとVISAタッチ決済も一瞬で終わる。
Re: (スコア:0)
実態として店員は困ってるんで、オペレーションを考慮した実装が出来ていないのは事実だよ
Re: (スコア:0)
それカードリーダーの方が古すぎるんじゃない?
今はカードを渡さずに客が差し込むのが標準。
元々店員の不正対策だったけど、コロナ禍で一気に置き換わった。
で、カードリーダーのディスプレイ部分が光る奴はタッチ決済にも対応してる。
店員がコンタクトレスの存在を知らなくてもタッチすれば決済が勝手に進む。
(店員が見てる画面はカードリーダー通した時と同じように支払回数とか求める画面に遷移する)
Re: (スコア:0)
あれ、オンライン決済の時にやられると非常に迷惑だよね。
Re: (スコア:0)
関連リンクにあるJCBプリペイドの件 [security.srad.jp]もまだ修正されてないですからね
JCBの「秘密の質問」は多要素目的なので正しい (スコア:0)
セキュリティの専門家から脆弱だと指摘されているのは、パスワードの代替としての「秘密の質問」(パスワードリセット用)です。
JCBの「秘密の質問」は、IDとパスワードでログインした後に聞かれるので、多要素目的としての正しい実装です。
何をもって多要素というのかは実は曖昧なのですが、どの主要ブラウザもパスワードをブラウザに保存できるようになっているので、パスワード自体は今はもう「所持情報」と同義になっているのではないでしょうか。
それに加えて、「知識情報」を加えるというのは正しいです。
スマホ落とすかもしれないし、リスト型攻撃でIDとパスワードがクラックされるかもしれませんからね。
ログインのたびにSMSやTOTPやるのはやりすぎだし、現実的にはまともな対策かと思います。
Re: (スコア:0)
秘密の認証が無数に用意されてるならともかく、3つ程度ならロガーに3つ分記録されてしまえば
終わりなので知識情報とは言えない。
銀行でよくある「番号表」の強度すら保てていない。
単にめんどくさいだけで意味ないのに「セキュリティ保ってる気分」になるのでむしろ有害。
ネット系銀行ならSMSもTOTPも今となっては常識だし素直にこっちでいい。