アカウント名:
パスワード:
ドコモに限らず今すぐ全停止して欲しい。口座番号は隠す情報じゃない(振り込み先として開示する情報)ので、秘密の情報は1万通りもない「暗証番号」だけ。パスワードスプレーで簡単に攻略出来ることくらい設計時点で本当に誰も気付かなかったとは思えないのだけど。
4桁の暗証番号で安全なのは大量偽造は困難な物理カードでATM前で操作するって条件下だからだよ。オンラインでは前提条件がまったく違うので「本人確認」とかで頑張ったところで安全にしようがない。
銀行にクレカ並の不正使用検知能力があれば別だがまあほとんどの銀行はダメだろな
てか、ネットバンキングサービス使うときは専用のログインパス認証してるし、取引時にはさらに専用パスやら乱数表やらハードウェアトークンやらワンタイムパスワードやら要求されるのよな。つまり銀行はそれぐらいやらないと不正利用の対策はできないって分かってるのよ。
こういう外部の決済サービスとの連携の場合、実際に決済するのは別のサービス上で、銀行自身が責任負わされることはないと思ってるからこんなザルみたいな対応を許してしまう。この件はドコモはもちろんとして、銀行のこともボロクソに叩かないと同じ事何度も繰り返すぞ。
ザルなネット口座振替用の認証メニューを用意したXXはどうなの?
テンプレ再生でしか物が言えないのか
銀行で言うところの口座番号だけ知ってれば誰でも使えてしまうクレジットカードよりは安全だからねw
#銀行もクレカも昭和時代を引きずりすぎてどうしようもなくなってる
クレカの場合、そのへんは運用でカバーしてるんじゃないの?普段と異なる利用が無いか、被害に遭ったときの保険とか、実際にお金が動くタイミングとか、
銀行系大手クレカは、海外で家族カードがスキミング(おそらく)にあって不正オンライン利用されたときは、数時間以内に主カード契約者の自分に連絡があったな。その取引は決裁せず、カードも一時停止。しかし使えないと利用者が海外で死ぬので、当該国での対面利用だけは有効にしてもらった。キャッシングは別なプリペイドでバックアップできたので無事帰ってこられたがカードは交換になった(当然)。利用者の便宜を考慮した細かい対応もできるのでそういう点ではしっかりしていると思う。
クレジットカードは決済時に取引が怪しいと判断したら決済通さずにカードの一時利用停止までやるぞ。それに準じるような仕組みは存在してないように見えるが、どの辺がクレジットカードより安全なんだ?
本人確認が「甘い」のではなくて「してない」よねこれ確認してるのは情報を知ってるかどうかでしかない
本人確認は本人しか知らない情報を知っているかどうかで確認するのが大半だろう。ただし生体認証は除く。
つ 暗証番号
口座の番号も名義も簡単に引けるほぼ公開情報ですからね。ドコモIDのセキュリティを厳しくするのではなく、口座連携を厳しくしてもらわないと。
インターネットバンクほとんどアウトじゃね?
それなりにちゃんとしたネットバンクなら、・ワンタイムパスワード・スマホの生体認証・ネットバンク用カード記載の番号入力あたりでセキュリティ担保していますよあと申し込み結果なんかも全部メールや SMS で飛んでくるので、不正利用にも気づけますし
# 今回のはむしろネットバンク未開設でもネット口座振替申請出来てしまって、記帳まで気づけないのが問題拡大の一因かな
口座番号とキャッシュカードの暗証番号だけで取引操作できるインターネットバンクなんて皆無だと思うけど。まずログイン時には口座番号とは別のユーザーネーム要求されるし、パスワードだってキャッシュカードの暗証番号とは桁数も使える文字の種類も違う。
残高照会だけなら三井住友とかが出来るけど、資金移動を伴う取引が出来るのは皆無ですねー
ひろみちゅはSMBCの仕様にもキレてるけどな。
>三井住友銀行はもはや信用できなくなったので長年ロックのまま放置してある。https://twitter.com/HiromitsuTakagi/status/1303298285302476801 [twitter.com]
インターネットバンクの意味がわりと広いのですが、銀行口座の個人ユーザーが操作するいわゆるダイレクトアカウントってやつはほとんどの銀行が多要素認証やOTP、資金移動時のSMS通知とかを組み込んでいます。なので、万全ではないですが悪用の可能性は比較的低いです。
一方で今回の不正利用は「Web口座振替受付」なのでダイレクトアカウントの認証で入って手続きできる銀行もあるのですが、ダイレクトアカウントを持っていないユーザー向けに別の手段で認証(本人確認のつもり)して手続きできるようにしているところが多いのです。それが問題になってい
こいつ使ったことないんだろうなあ
暗証番号だけで買い物ができる、Jデビット…
J-Debitはキャッシュカードという物理認証が必要なので暗証番号と合わせて2要素認証
キャッシュカードなんて、クレジットカードと同じぐらい簡単に偽造できますわな。
二要素認証ってのは大嘘だが「物理的に偽造する必要がある」ことが障壁の1つ。1万口座分ログイン試行するのにネットなら秒で終わるが物理だと1万枚の偽造カード作って1万人の店員相手にするのは現実的に不可能。
キャッシュカードの暗証番号もオンラインバンキングのパスワードも乱数から作ったものにしてるけど、使ってもないサービスからやられたらたまったもんじゃないね。取り敢えず三菱UFJは関係無さそうでよかった。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
口座番号と暗証番号で「連携」出来るサービス (スコア:1)
ドコモに限らず今すぐ全停止して欲しい。
口座番号は隠す情報じゃない(振り込み先として開示する情報)ので、秘密の情報は1万通りもない「暗証番号」だけ。
パスワードスプレーで簡単に攻略出来ることくらい設計時点で本当に誰も気付かなかったとは思えないのだけど。
4桁の暗証番号で安全なのは大量偽造は困難な物理カードでATM前で操作するって条件下だからだよ。
オンラインでは前提条件がまったく違うので「本人確認」とかで頑張ったところで安全にしようがない。
Re: (スコア:0)
銀行にクレカ並の不正使用検知能力があれば別だが
まあほとんどの銀行はダメだろな
Re:口座番号と暗証番号で「連携」出来るサービス (スコア:4, すばらしい洞察)
てか、ネットバンキングサービス使うときは専用のログインパス認証してるし、
取引時にはさらに専用パスやら乱数表やらハードウェアトークンやらワンタイムパスワードやら要求されるのよな。
つまり銀行はそれぐらいやらないと不正利用の対策はできないって分かってるのよ。
こういう外部の決済サービスとの連携の場合、実際に決済するのは別のサービス上で、
銀行自身が責任負わされることはないと思ってるからこんなザルみたいな対応を許してしまう。
この件はドコモはもちろんとして、銀行のこともボロクソに叩かないと同じ事何度も繰り返すぞ。
Re: (スコア:0)
ザルなネット口座振替用の認証メニューを用意したXXはどうなの?
Re: (スコア:0)
テンプレ再生でしか物が言えないのか
Re: (スコア:0)
銀行で言うところの口座番号だけ知ってれば誰でも使えてしまうクレジットカードよりは安全だからねw
#銀行もクレカも昭和時代を引きずりすぎてどうしようもなくなってる
Re:口座番号と暗証番号で「連携」出来るサービス (スコア:1)
クレカの場合、そのへんは運用でカバーしてるんじゃないの?
普段と異なる利用が無いか、被害に遭ったときの保険とか、実際にお金が動くタイミングとか、
Re:口座番号と暗証番号で「連携」出来るサービス (スコア:1)
銀行系大手クレカは、海外で家族カードがスキミング(おそらく)にあって不正オンライン利用されたときは、数時間以内に主カード契約者の自分に連絡があったな。その取引は決裁せず、カードも一時停止。しかし使えないと利用者が海外で死ぬので、当該国での対面利用だけは有効にしてもらった。キャッシングは別なプリペイドでバックアップできたので無事帰ってこられたがカードは交換になった(当然)。利用者の便宜を考慮した細かい対応もできるのでそういう点ではしっかりしていると思う。
Re: (スコア:0)
クレジットカードは決済時に取引が怪しいと判断したら決済通さずにカードの一時利用停止までやるぞ。
それに準じるような仕組みは存在してないように見えるが、どの辺がクレジットカードより安全なんだ?
Re: (スコア:0)
本人確認が「甘い」のではなくて「してない」よねこれ
確認してるのは情報を知ってるかどうかでしかない
Re: (スコア:0)
本人確認は本人しか知らない情報を知っているかどうかで確認するのが大半だろう。
ただし生体認証は除く。
Re: (スコア:0)
これで本人確認は完璧やな
Re: (スコア:0)
つ 暗証番号
Re: (スコア:0)
口座の番号も名義も簡単に引けるほぼ公開情報ですからね。
ドコモIDのセキュリティを厳しくするのではなく、口座連携を厳しくしてもらわないと。
Re: (スコア:0)
インターネットバンクほとんどアウトじゃね?
Re:口座番号と暗証番号で「連携」出来るサービス (スコア:1)
それなりにちゃんとしたネットバンクなら、
・ワンタイムパスワード
・スマホの生体認証
・ネットバンク用カード記載の番号入力
あたりでセキュリティ担保していますよ
あと申し込み結果なんかも全部メールや SMS で飛んでくるので、不正利用にも気づけますし
# 今回のはむしろネットバンク未開設でもネット口座振替申請出来てしまって、記帳まで気づけないのが問題拡大の一因かな
Re: (スコア:0)
口座番号とキャッシュカードの暗証番号だけで取引操作できるインターネットバンクなんて皆無だと思うけど。
まずログイン時には口座番号とは別のユーザーネーム要求されるし、パスワードだってキャッシュカードの暗証番号とは桁数も使える文字の種類も違う。
Re: (スコア:0)
残高照会だけなら三井住友とかが出来るけど、資金移動を伴う取引が出来るのは皆無ですねー
Re: (スコア:0)
ひろみちゅはSMBCの仕様にもキレてるけどな。
>三井住友銀行はもはや信用できなくなったので長年ロックのまま放置してある。
https://twitter.com/HiromitsuTakagi/status/1303298285302476801 [twitter.com]
Re: (スコア:0)
インターネットバンクの意味がわりと広いのですが、
銀行口座の個人ユーザーが操作するいわゆるダイレクトアカウントってやつは
ほとんどの銀行が多要素認証やOTP、資金移動時のSMS通知とかを組み込んでいます。
なので、万全ではないですが悪用の可能性は比較的低いです。
一方で今回の不正利用は「Web口座振替受付」なので
ダイレクトアカウントの認証で入って手続きできる銀行もあるのですが、
ダイレクトアカウントを持っていないユーザー向けに別の手段で認証(本人確認のつもり)して
手続きできるようにしているところが多いのです。
それが問題になってい
Re: (スコア:0)
こいつ使ったことないんだろうなあ
Re: (スコア:0)
暗証番号だけで買い物ができる、Jデビット…
Re: (スコア:0)
J-Debitはキャッシュカードという物理認証が必要なので暗証番号と合わせて2要素認証
Re: (スコア:0)
キャッシュカードなんて、クレジットカードと同じぐらい簡単に偽造できますわな。
Re: (スコア:0)
二要素認証ってのは大嘘だが「物理的に偽造する必要がある」ことが障壁の1つ。
1万口座分ログイン試行するのにネットなら秒で終わるが物理だと1万枚の偽造カード作って1万人の店員相手にするのは現実的に不可能。
Re: (スコア:0)
キャッシュカードの暗証番号もオンラインバンキングのパスワードも乱数から作ったものにしてるけど、使ってもないサービスからやられたらたまったもんじゃないね。取り敢えず三菱UFJは関係無さそうでよかった。