パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

UFJ銀行を偽装した詐欺メールふたたび」記事へのコメント

  • UFJは、振込みなどの場合には乱数表が必要になるので少しは障壁が高いですね。高木浩光氏
    が指摘しているように、なんどもリクエストを投げる攻撃に対しては脆弱ですが。

    みずほ銀行のように乱数表すらないインターネットバンキングって、設計に根本的な間違いが
    あるような気がします
    • みずほは乱数表はないですが、振込み時は第2暗証番号を使うシステムですね。

      むしろ、東京三菱のようにログインだけで乱数表が必要な方が、設計の悪さを感じます。ログインしてしまうと振込みなど資金移動も可能なので、けっこうやばいです。

      # インターネットバンキングでてのひら認証できたらいいのに:-)
      • > # インターネットバンキングでてのひら認証できたらいいのに:-)
        あくまで理論的な話ですが、新手のフィッシングにひっかかって
        手のひら認証データ(=各個人の静脈データ)を座れてしまった場合は
        暗証番号などと違って変更が出来ないので逆にやばい様な気がします。

        # どこかのサイトの受け売りなんだけど肝心のサイト忘れたorz
        --
        『今日の屈辱に耐え明日の為に生きるのが男だ』
        宇宙戦艦 ヤマト 艦長 沖田十三氏談
        2006/06/23 JPN 1 - 4 BRA
        • > # インターネットバンキングでてのひら認証できたらいいのに:-)
          あくまで理論的な話ですが、新手のフィッシングにひっかかって
          手のひら認証データ(=各個人の静脈データ)を座れてしまった場合は
          暗証番号などと違って変更が出来ないので逆にやばい様

          • >生体認証は本人以外が入力しづらい ID であってパスワードではないんです.

            そうですね。
            東京三菱銀行の場合、生態認証カードであっても、パスワードが必須です。
            1)ATMにカードを入れる。
            2)パスワードを入力する。
            3)引き落とし操作などをする。
            と、いう流れになります。
            • by Anonymous Coward on 2005年07月27日 13時23分 (#772735)
              別途パスワードが必要だからといて、生体認証が「パスワードではない」という理由にはなりませんね。両方ともパスワードでしょということになる。
              親コメント
              • by ruto (17678) on 2005年07月27日 16時42分 (#772801) 日記
                公開情報だとID、非公開情報だとパスワードという違いだと思います。
                親コメント
              • それはシステム全体から見るか、ATMから見るかの違いでしょう

                ATMから見れば、ICカードの固有情報とICカードに記録された生体情報が合致してはじめて勘定系にアクセスする許可を出します。勘定系から見ればATMから送られてくるのは、ID情報と暗証番号だけです

                システム全体から見れば、生体認証は単にIDが一つ増えただけです
              • システム全体から見れば、生体認証は単にIDが一つ増えただけです
                そんな言い方ができるなら、パスワードも単にIDのひとつでしょ。
                ATMから見れば、ICカードの固有情報とICカードに記録された生体情報が合致してはじめて勘定系にアクセスする許可を出します。
                それはつまり、生体情報はパスワードだってことだね。
              • by Stealth (5277) on 2005年07月27日 17時21分 (#772811)

                ID は identifier の略な訳ですが。パスワードで固体認識は可能ですか?

                生体情報はあくまで固体認識を行なう目的のものであって、明確に異なります。

                親コメント
              • ええ? 生体認証システムの生体情報で個体識別ができるのですか????
                生体情報はパスワードですよ。
              • by yu_raku (419) on 2005年07月27日 18時45分 (#772845)
                IDは変更不能
                盗まれたら取り返せない
                (盗まれてもかまわない運用であるべき)

                パスワードは変更可能
                盗まれても変更すればよい
                親コメント
              • 個体識別できないの?
                できなきゃ警察のやっていることは何だ?
              • by typer (9666) on 2005年07月28日 0時24分 (#772975) 日記
                パスワードはIDと対になり個をよりセキュアに認証するために用いる符合。よって秘匿されるべきであり、認証機構以外にIDとの紐付けがされてはならず、他者にとっては無関係であるべき。
                パスワードが誕生日である事よりはましかも知れないが、生体情報をパスワードにすべきではない。

                IDはあるシステムで個を識別するための符合で、その目的のため公開され得る。しかし、安全性や利便性との兼ね合いから公開すべきではない情報となることも多く、たとえばクレジットカード番号の様に扱いがIDよりもパスワードに近くなる事もある(しかしパスワードではない)。

                生体情報は個人との結び付きが強く、基本的に変更できないと考えられる物で、将来どれだけ秘匿性の高いID(の一部)として使われるかわからない以上、パスワード以上に秘匿しなければならない。
                #さらに個人情報でもある

                よって、生体情報はID/パスワード双方の性質を合わせ持つが故に、どちらか一方の考えのみをするべきではなくIDでもパスワードでもないと考えるべき。

                結論:生体情報は、
                ・安易に使うな
                ・パスワードよりも隠せ
                ・使ってもセキュリティーが向上するとは思うな

                #あれ?使う意味は?(笑)
                親コメント
              • by yu_raku (419) on 2005年07月28日 17時53分 (#773390)
                > #あれ?使う意味は?(笑)

                入力の利便性の向上と、楽しさです。
                アミューズメント施設に向いてると思います。子供とか喜ぶ。
                親コメント
              • by typer (9666) on 2005年07月29日 0時10分 (#773625) 日記
                あのコメントは半分冗談ですが、コメントいただいたので半分の本気で書きます。

                > 入力の利便性の向上と、楽しさです。
                > アミューズメント施設に向いてると思います。子供とか喜ぶ。

                入力の利便性向上というのには同意ですが、アミューズメント施設などで安易に使用すべきものかどうかは疑問です。
                生体情報を利用する事は、極論すれば口座番号とか住基カードを使うようなものと言えませんか?そういった情報をさほどセキュリティが期待できない環境で使う事は避けるべきでしょう。
                とはいえ、そういった用途では精度の良い装置を使う事はないと思うし、使った右手は将来重要な用途に使わないと決めれば良いわけだし、杞憂にすぎないかも知れませんが。

                じゃあ、何に使うべきかと言えば、一つは利便性向上のためにIDの代わりとして利用する事。ただし、この場合セキュリティレベルは下がるので、それ相応のアクセスのみに限定する。もう一つは別の重要なIDを補間するIDとして。
                どちらにしろユーザとして利用するか否かは利便性や効果との天秤に書けた上で、慎重に決めるべきだと思います。
                親コメント
              • ATMから見れば、ICカードの固有情報とICカードに記録された生体情報が合致してはじめて勘定系にアクセスする許可を出します。
                それはつまり、生体情報はパスワードだってことだね。
                その論理がまかり通るなら、あらゆるIDは即ちパスワードですね。すごいすごい。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...