パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

UFJ銀行を偽装した詐欺メールふたたび」記事へのコメント

  • UFJは、振込みなどの場合には乱数表が必要になるので少しは障壁が高いですね。高木浩光氏
    が指摘しているように、なんどもリクエストを投げる攻撃に対しては脆弱ですが。

    みずほ銀行のように乱数表すらないインターネットバンキングって、設計に根本的な間違いが
    あるような気がします
    • みずほは乱数表はないですが、振込み時は第2暗証番号を使うシステムですね。

      むしろ、東京三菱のようにログインだけで乱数表が必要な方が、設計の悪さを感じます。ログインしてしまうと振込みなど資金移動も可能なので、けっこうやばいです。

      # インターネットバンキングでてのひら認証できたらいいのに:-)
      • > # インターネットバンキングでてのひら認証できたらいいのに:-)
        あくまで理論的な話ですが、新手のフィッシングにひっかかって
        手のひら認証データ(=各個人の静脈データ)を座れてしまった場合は
        暗証番号などと違って変更が出来ないので逆にやばい様な気がします。

        # どこかのサイトの受け売りなんだけど肝心のサイト忘れたorz
        --
        『今日の屈辱に耐え明日の為に生きるのが男だ』
        宇宙戦艦 ヤマト 艦長 沖田十三氏談
        2006/06/23 JPN 1 - 4 BRA
        • 生体データもそのまま送るんではなく,毎回乱数なりを元にして
          不可逆な符号化をして送ればいいような気がしますが,それでは
          駄目なんでしょうか.
          #で,ホスト側も同じ乱数と記録してあるデータを用いて同様に
          #符号化して照合.
          • by Anonymous Coward on 2005年07月27日 16時11分 (#772790)
            1.「生体認証用クライアントソフトをアップデートしました」 フィッシングサイトに誘導
            2.「新しいクライアントはこちら」 生体データをそのまま(犯人のサーバに)送るソフトをダウンロードさせる
            3.「古いクライアントソフトは使用できなくなります。返却してください」 本物の符号化ソフトをアップロードさせる
            (4.被害者が気付かないままダウンロードした偽ソフトで銀行にアクセスしようとすると、犯人のサーバの本物の符号化ソフト経由で本物のオンラインバンキングに接続する)
            親コメント

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...