アカウント名:
パスワード:
メガバンクの個人向けネットバンキングサービスの中では 物理トークンを使ったトランザクション署名 [mizuhobank.co.jp] に対応している、みずほ銀行が圧倒的に安全です。
三菱東京UFJ銀行のパスワードカード [bk.mufg.jp] や 三井住友銀行のパスワードカード [smbc.co.jp] や ゆうちょ銀行のワンタイムパスワード生成機 [japanpost.jp]は、トークン(たぶん Digipass)自体は、トランザクション署名対応なのにも関わらず、銀行側が対応していないため、単なるワンタイムパスワード発行機としてしか使用できません。
みずほ銀行のトランザクション署名は、中継型フィッシング・パソコンやスマホが遠隔操作やマルウェアによるMITBの影響下にあっても、トークンに振込先口座番号を入力しない限り(振込先の口座番号固有のワンタイムメッセージ認証コードを発行しない限り)は、不正振込を防げるという優れものです。せっかく大規模なシステム変更をするならば、他行はみずほ銀行を見習って安全な方式を導入すべきだったと思います。
スマホを利用した認証方法については、PCで振込してスマホで認証するならともかく、スマホのみで完結しようとしたらスマホ1要素の認証にしかなっておらず、スマホがマルウェアに感染した場合に安全性が保てないので危険です。OSの月例パッチすらあたっていないまま放置された Android スマホは root 権限が悪意のある第三者に奪われる恐れがあり、認証アプリ自体の安全性が保てません。
利便性のためにスマホでの認証の選択をユーザーに与えるだけならともかく、せっかくの トランザクション署名対応のテンキー付きトークン [bk.mufg.jp] を導入しているのに、それを単なるワンタイムパスワード生成器としてしか使えない三菱東京UFJ銀行のシステムは糞としか言いようがありません。
×三菱東京UFJ銀行〇三菱UFJ銀行名前変わったの知らんのか?
来月からです行名変更のお知らせ | 三菱東京UFJ銀行 [bk.mufg.jp]
いつ変わったんだ?
三菱東京UFJ銀行 から 三菱東京UFJ銀行 に変わったの知らんのか?
過剰すぎるガラパゴスセキュリティは普及せず死ぬだけ
世界的に有名なHSBCは、トランザクション認証トークン必須なの知らないの?更には引き出しなどがリアルタイムでSMS通知されるんだぜ
世界のこと知らんのにガラパコス語るなむしろ日本のセキュリティが遅れているんだぞ中国ですら5年以上前から電卓型security deviceが普及してたぞすごいことに日本のソレと違って中国のはちゃんとsecurity deviceのテンキーが機能して相手account no.をinputしてMACをoutputできる
一方、日本のsecurity deviceのテンキーは飾りで機能しない(笑)見せかけだらけの張りぼて作るのは昔は中国の方だったが、今それやるのは日本になってしまった
中国凄いよねVISAやマスターはいまだに4桁暗証番号orサイン認証だけど銀聯カードは6桁PINとサインの両方に加え、決済したらすぐにスマホに決済情報書かれたSMS届くからなどんどん発展していて最先端の技術が導入されていってるから日本も頑張らないと差を付けられちゃう
凄いわりには金融犯罪が多かったら意味ないんだよね
張りぼてセキュリティはものすごく悪い意味で立派なガラパゴスだろう。「過剰セキュリティ」というのはちょっと違うが。
ウイルス感染を考えたら一要素認証にしかなってないぞってのはサポートに突っ込んだんだけど、「心配だったらカード型をご利用ください」で回答されたよ。何度も「確認してまいります」うぃ繰り返されて回答もらうまで30分くらいかかったが。
電凸してくれたか有難き幸せBTMUはいまだにサイトも常時SSLじゃないしセキュリティ面でのセンスが無さ過ぎるわ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
三菱東京UFJ銀行は物理トークン型のトランザクション署名にも対応すべきだった (スコア:4, 興味深い)
メガバンクの個人向けネットバンキングサービスの中では 物理トークンを使ったトランザクション署名 [mizuhobank.co.jp] に対応している、みずほ銀行が圧倒的に安全です。
三菱東京UFJ銀行のパスワードカード [bk.mufg.jp] や 三井住友銀行のパスワードカード [smbc.co.jp] や ゆうちょ銀行のワンタイムパスワード生成機 [japanpost.jp]は、トークン(たぶん Digipass)自体は、トランザクション署名対応なのにも関わらず、銀行側が対応していないため、単なるワンタイムパスワード発行機としてしか使用できません。
みずほ銀行のトランザクション署名は、中継型フィッシング・パソコンやスマホが遠隔操作やマルウェアによるMITBの影響下にあっても、トークンに振込先口座番号を入力しない限り(振込先の口座番号固有のワンタイムメッセージ認証コードを発行しない限り)は、不正振込を防げるという優れものです。せっかく大規模なシステム変更をするならば、他行はみずほ銀行を見習って安全な方式を導入すべきだったと思います。
スマホを利用した認証方法については、PCで振込してスマホで認証するならともかく、スマホのみで完結しようとしたらスマホ1要素の認証にしかなっておらず、スマホがマルウェアに感染した場合に安全性が保てないので危険です。OSの月例パッチすらあたっていないまま放置された Android スマホは root 権限が悪意のある第三者に奪われる恐れがあり、認証アプリ自体の安全性が保てません。
利便性のためにスマホでの認証の選択をユーザーに与えるだけならともかく、せっかくの トランザクション署名対応のテンキー付きトークン [bk.mufg.jp] を導入しているのに、それを単なるワンタイムパスワード生成器としてしか使えない三菱東京UFJ銀行のシステムは糞としか言いようがありません。
Re: (スコア:0)
×三菱東京UFJ銀行
〇三菱UFJ銀行
名前変わったの知らんのか?
Re: (スコア:0)
来月からです
行名変更のお知らせ | 三菱東京UFJ銀行 [bk.mufg.jp]
Re: (スコア:0)
いつ変わったんだ?
Re: (スコア:0)
三菱東京UFJ銀行 から 三菱東京UFJ銀行 に変わったの知らんのか?
Re: (スコア:0)
過剰すぎるガラパゴスセキュリティは普及せず死ぬだけ
Re: (スコア:0)
世界的に有名なHSBCは、トランザクション認証トークン必須なの知らないの?
更には引き出しなどがリアルタイムでSMS通知されるんだぜ
Re: (スコア:0)
世界のこと知らんのにガラパコス語るな
むしろ日本のセキュリティが遅れているんだぞ
中国ですら5年以上前から電卓型security deviceが普及してたぞ
すごいことに日本のソレと違って中国のはちゃんとsecurity deviceのテンキーが機能して相手account no.をinputしてMACをoutputできる
一方、日本のsecurity deviceのテンキーは飾りで機能しない(笑)
見せかけだらけの張りぼて作るのは昔は中国の方だったが、今それやるのは日本になってしまった
Re: (スコア:0)
中国凄いよね
VISAやマスターはいまだに4桁暗証番号orサイン認証だけど
銀聯カードは6桁PINとサインの両方に加え、決済したらすぐにスマホに決済情報書かれたSMS届くからな
どんどん発展していて最先端の技術が導入されていってるから日本も頑張らないと差を付けられちゃう
Re: (スコア:0)
凄いわりには金融犯罪が多かったら意味ないんだよね
Re: (スコア:0)
張りぼてセキュリティはものすごく悪い意味で立派なガラパゴスだろう。
「過剰セキュリティ」というのはちょっと違うが。
Re: (スコア:0)
ウイルス感染を考えたら一要素認証にしかなってないぞってのはサポートに突っ込んだんだけど、
「心配だったらカード型をご利用ください」で回答されたよ。
何度も「確認してまいります」うぃ繰り返されて回答もらうまで30分くらいかかったが。
Re: (スコア:0)
電凸してくれたか有難き幸せ
BTMUはいまだにサイトも常時SSLじゃないしセキュリティ面でのセンスが無さ過ぎるわ