パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

福井銀、類推されやすい暗証番号を利用停止に」記事へのコメント

  • by moromama (23126) on 2006年08月05日 1時13分 (#991322) 日記
    銀行のカードってまだ4桁なんでしょうか・・・
    もう少し桁数を増やしたほうが・・・
    4桁で類推できる番号を使えなくすると、逆に類推できてしまうんじゃ・・・
    え?もう4桁じゃない?
    --
    Minder
    • Re:4桁・・・ (スコア:4, 参考になる)

      by meta (7332) on 2006年08月05日 2時25分 (#991358) 日記
      少なくともイーバンクは12桁まで設定できます。
      8桁に設定していますが、ATMが4桁にしか対応していないのか
      4桁の部分で前方一致になってしまうのであまり意味がありません。

      # この辺はよくわからないんですが、使える暗証番号の長さは
      # ATM自体の仕様に因るものなんでしょうか? それとも全銀システムの仕様?
      親コメント
      • by Anonymous Coward
        企業ってさぁ、銀行に限らずメーカーでもなんでもそうだけどさぁ、
        ユーザにとって標準化してほしいところではなかなさそうならなくて、
        もっと独自色を発揮して欲しいところでは標準枠から出てくれないよね。
    • Re:4桁・・・ (スコア:2, 参考になる)

      by Francis (12546) on 2006年08月05日 2時37分 (#991362) ホームページ 日記
      同一数字4桁
      2桁の繰り返し
      同一数字を3個使う
      連番昇順降順
      日付全部
      生年ぽいもの
      郵便番号の特定桁から
      電話番号の特定桁から

      これで大体千個ぐらいの数字が使えなくなりますな。バリエーションが1万しかないから1割は駄目と。まあ9割あるし。
      親コメント
      • Re:4桁・・・ (スコア:3, すばらしい洞察)

        by Anonymous Coward on 2006年08月05日 9時34分 (#991459)
        それ考え方が逆です。今まで1000個の領域しか使っていなかったのが9000個の領域に変わるわけですから、バリエーションは9倍になるんです。強度は格段に上がると思いますよ。
        親コメント
        • by Amayu (17356) on 2006年08月05日 11時18分 (#991495)
          それは目から鱗です。

          さらに捻ってみて
            一方ロシアは...じゃないですけど
          愛車のナンバーを登録する
          人が増えたりして。

          4桁の呪縛ですね。
          --
          []_g@
          親コメント
          • Re:4桁・・・ (スコア:2, おもしろおかしい)

            by Anonymous Coward on 2006年08月05日 14時37分 (#991586)
            つーかうちの親、希望ナンバーでわざわざ愛車のナンバーを暗証番号にしやがったよ。せっかく生年月日とか電話番号でない暗証番号なのにそれぶら下げて走るんかと。
            親コメント
      • by harupunte (10435) on 2006年08月05日 6時27分 (#991394) 日記
        素数、円周率、両親子供の誕生日、結婚記念日、CPUの型番、
        スラドのID。。。

        どんどん減って行きますねぇ。
        逆に裏をかいて類推されやすいものにしたほうがバレなかったり。
        親コメント
        • by Anonymous Coward
          以前,円周率をカードの暗証番号にしていましたし,CPUの型番をパスワードにしていたこともあります.

          #さすがにAC
    • Re:4桁・・・ (スコア:2, すばらしい洞察)

      by Anonymous Cowerd (24277) on 2006年08月05日 9時28分 (#991457)
      JALのマイレージバンクではセキュリティ強化と称して4桁の暗証番号から
      6桁の暗証番号に変更させられました。
      はたしてそれが強化になったといえるのかは疑問ですし、使用頻度は
      キャッシュカードほど高くないので日数が経つと忘れてしまいます。

      4桁が6桁になったって、セキュリティは「下の下」が「下」くらいに
      なった程度でしかなく、効果は薄いです。
      一人で短期間で攻略できるのが4桁、数人で数日かかるのが6桁という
      差ではないでしょうか。
      ツールなんかを使って機械的にやれば、4桁も6桁も変わらないかも。

      それよりも数字のみではなく、アルファベットも使わせて欲しいです。
      人間は数字だけよりもアルファベットを入れたほうが覚えやすいですし、
      他人からは推測しにくいものも簡単に作れます。

      親コメント
      • by watabow (12243) on 2006年08月05日 10時56分 (#991482)
        あと、桁数固定なのもいけないと思うんですよね。
        最大6桁程度でも、3~6桁の任意桁数を許容してさらに「右詰」「左詰」「中央揃え」入力が選択できると結構自由度が増す気がします。
        効果ないかなぁ。
        親コメント
        • by Anonymous Coward
          右詰左詰ですけど、それって数字に加えて空白も使えるようになったっていうだけな気がします。
        • by Anonymous Coward
          最大6桁程度でも、3~6桁の任意桁数を許容してさらに「右詰」「左詰」「中央揃え」入力が選択できると結構自由度が増す気がします。

          断固抗議します。

          顧客 ID には数字しか入らないことが仕様上明らかなのに、KOKYAKU_ID varchar2(10) のようなテーブル定義をするコボラーが今でさえうじゃうじゃいるのに。彼らをいかに早く絶滅させられるかが 21 世紀の IT 技術者の使命なのです。

          (以下 65KB 分の愚痴が省略されました。続きを読むには……)

          • by Anonymous Coward
            >KOKYAKU_ID varchar2(10)
            number(10)にしたってどうせ2進化10進数で格納されるんだから、ディスク領域をちょっと節約できるだけでしょ。比較の速度だって大して違わないんだし、将来の変更のこと考えたらvarchar2で何も問題ないと思うけど。
      • by Anonymous Coward
        > ツールなんかを使って機械的にやれば、4桁も6桁も変わらないかも。

        6桁というと凡そ百万通りの候補があるんですが、それだけの候補を
        次から次へと試していく間、システム側はハラハラしながらそれを
        見てるしか手がないんですかい?

        パスワード破りの方法として、虱潰しにやるか、別情報から類推するかで、
        4桁から6桁への移行は、4桁は類推されやすい候補がありふれてるんで、
        6桁なら大丈夫だろうという趣旨じゃないかな。そして、虱潰しの攻撃には
        > 4桁も6桁も変わらないかも。
        かもしれないが、チャレンジ数回失敗で口座を使用停止とかにすることで
        対処できるんじゃない?
        • Re:4桁・・・ (スコア:1, すばらしい洞察)

          by Anonymous Coward on 2006年08月05日 14時08分 (#991578)
          誕生日が生年月日に変わるだけでしょ
          親コメント
        • by Anonymous Coward
          > かもしれないが、チャレンジ数回失敗で口座を使用停止とかにすることで
          > 対処できるんじゃない?

          過去の例ですと、電話で操作できるサービスでは暗証番号を
          何度間違えても凍結されない脆弱性があったり、暗証番号は
          固定で、口座番号を少しずつ変えてチャレンジするという
          手口もあったようです。

          それに、類推されやすい番号は除外できるわけですから、
          逆に候補が絞れるわけです。
          類推されやすい暗証番号を使っていれば、その本人に責任が
          あるでしょうけど、もともと類推されにくい暗証番号を使って
          いる人は、候補が削減されることでセキュリティのレベルが
          低下することになったのですよね。
      • by Anonymous Coward
        >それよりも数字のみではなく、アルファベットも使わせて欲しいです。

        適当に考えてみた。

        a:4
        b:13
        c:6
        d:9
        e:6
        f:7
        g:8
        h:5
        i:1
        j:1
        k:12
        l:6
        m:3
        n:2
        o:0
        p:10
        q:9
        r:12
        s:5
        t:7
        u:01
        v:4
        w:3
        x:8
        y:7
        z:2

        #探せば、もっとまともなのがありそう。
        #上手く検索できんかった、というか、別にどうでもいいんで、こんな感じで暗証番号に使ってたりします。
    • Re:4桁・・・ (スコア:2, 興味深い)

      by anonymouspage (28678) on 2006年08月05日 13時18分 (#991550)
      提携ネットワークが4桁しか対応してないから、
      自分のところだけで仕様を変えたくないんじゃないですかね。
      例えば海外でVISAのPLUSに対応したATMから国内の口座を引き出ししようとすると、"4桁の数字"を求められたと思います、確か。
      世界的に一気に仕様を変えるなんて不可能っぽいなぁ・・・
      親コメント
      • by Anonymous Coward
        全世界で変えるのは大変だろうけど、いずれは、変えないといけなくなるかもね。

        せっかく変えるんだったらついでに、数字だけじゃなくてカナとかもOKなようにしてほしいものだ。

        あれ?

    • by Anonymous Coward
      ネットパスワードは、ID+パスワード。(主に)
      キャッシュカードは、カード自体+4桁暗証番号。
      あくまでも「キャッシュカードをなくさない」ことも前提にされているので、「4桁暗証番号」でもいいのかと思う。
      • Re:4桁・・・ (スコア:2, すばらしい洞察)

        by unchikun (14429) on 2006年08月05日 9時03分 (#991440)
        あと、複数回暗証番号を忘れちゃうと、カードが吸い込まれたり、
        その日は使えなくなったりするしね。
        カードを不正使用されたとしても、数日内に悪用される確率は
        格段に下がると思うよ。
        警察と銀行に届け出る時間は十分あると思うけどね。
        それでも悪用された時には銀行側で保証すればいいし。

        財布の中にある4桁の数字を禁止するだけでも、かなり有効と思うよ。

        # でも、4桁の番号を書いた紙を財布の中に入る人が続出するだろうな。(笑)
        親コメント
        • Re:4桁・・・ (スコア:1, 参考になる)

          by Anonymous Coward on 2006年08月05日 9時26分 (#991456)
          経験上ですが、
          3回間違えると、カードが吸い込まれます。インターフォンで連絡をすると「カードの登録連絡先に連絡しますので…」と言われます。(たぶんコールセンターにつながっただけだと思います。銀行営業時間ならその時点で中に通してくれるかもしれません。)
          後日、本人に電話で「カードの暗証番号を限度回間違えました。身分証明書と銀行印と通帳を持って銀行に来てください。」と連絡が来ます。
          で、いちいち銀行に取りにいかなくてはなりません。取りに行ったときにすごく緊張しました。

          他銀行やコンビニだとまた違う手続きになってしまうことでしょう。
          親コメント
          • Re:4桁・・・ (スコア:2, おもしろおかしい)

            by Anonymous Coward on 2006年08月05日 9時50分 (#991464)
            2回間違えると、ものすごく緊張しますね。

            あるカードの暗証番号を、覚えやすい4桁ってことで
            「1024」「2048」「4096」「8192」のどれかにしてたのですが
            めったに使わない口座なのでそのどれだったかをすぐ忘れてしまいます。
            候補が4つでチャンスが3回なのでものすごい博打です。

            #3回間違えたことが1回、3回目で成功したことが数度…
            親コメント
            • by Anonymous Coward
              2回間違えたら恐くて3回目は打てないなぁ。
              • by Anonymous Coward
                一日経つとリセットされたりするんでしょうか?
                そうでなければやるしかないのでは?
              • Re:2回間違えたら (スコア:2, 参考になる)

                by kouryu (6724) on 2006年08月05日 15時47分 (#991621) 日記
                リセットされません。
                でも3回目で失敗すると、手続きが面倒になるので3回をやらずに、窓口でカード紛失として再発行にしました。

                ロックされた場合は作った支店まで行かないとダメといわれ、
                引越ししていたので、支店まで行くのは面倒だったので、
                カード紛失にしました。手数料は1000円だったかな?(やや曖昧)
                親コメント
              • Re:2回間違えたら (スコア:1, 参考になる)

                by Anonymous Coward on 2006年08月05日 22時46分 (#991719)
                > ロックされた場合は作った支店まで行かないとダメといわれ、
                > 引越ししていたので、支店まで行くのは面倒だったので、

                みずほ銀行は作った支店でなく、別の支店でもやってくれます。別の支店で再発行を伝票を受け付けて、あとは作った支店で処理/再発行するだけなので。
                親コメント

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...