アカウント名:
パスワード:
しかも、ここは「秘密の質問」が良くないと言われ始めた頃に導入した(つまり割と最近)というズレっぷり。
セキュリティの専門家から脆弱だと指摘されているのは、パスワードの代替としての「秘密の質問」(パスワードリセット用)です。JCBの「秘密の質問」は、IDとパスワードでログインした後に聞かれるので、多要素目的としての正しい実装です。
何をもって多要素というのかは実は曖昧なのですが、どの主要ブラウザもパスワードをブラウザに保存できるようになっているので、パスワード自体は今はもう「所持情報」と同義になっているのではないでしょうか。それに加えて、「知識情報」を加えるというのは正しいです。
スマホ落とすかもしれないし、リスト型攻撃でIDとパスワードがクラックされるかもしれませんからね。ログインのたびにSMSやTOTPやるのはやりすぎだし、現実的にはまともな対策かと思います。
秘密の認証が無数に用意されてるならともかく、3つ程度ならロガーに3つ分記録されてしまえば終わりなので知識情報とは言えない。銀行でよくある「番号表」の強度すら保てていない。
単にめんどくさいだけで意味ないのに「セキュリティ保ってる気分」になるのでむしろ有害。ネット系銀行ならSMSもTOTPも今となっては常識だし素直にこっちでいい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
JCB (スコア:0)
しかも、ここは「秘密の質問」が良くないと言われ始めた頃に導入した(つまり割と最近)というズレっぷり。
JCBの「秘密の質問」は多要素目的なので正しい (スコア:0)
セキュリティの専門家から脆弱だと指摘されているのは、パスワードの代替としての「秘密の質問」(パスワードリセット用)です。
JCBの「秘密の質問」は、IDとパスワードでログインした後に聞かれるので、多要素目的としての正しい実装です。
何をもって多要素というのかは実は曖昧なのですが、どの主要ブラウザもパスワードをブラウザに保存できるようになっているので、パスワード自体は今はもう「所持情報」と同義になっているのではないでしょうか。
それに加えて、「知識情報」を加えるというのは正しいです。
スマホ落とすかもしれないし、リスト型攻撃でIDとパスワードがクラックされるかもしれませんからね。
ログインのたびにSMSやTOTPやるのはやりすぎだし、現実的にはまともな対策かと思います。
Re:JCBの「秘密の質問」は多要素目的なので正しい (スコア:0)
秘密の認証が無数に用意されてるならともかく、3つ程度ならロガーに3つ分記録されてしまえば
終わりなので知識情報とは言えない。
銀行でよくある「番号表」の強度すら保てていない。
単にめんどくさいだけで意味ないのに「セキュリティ保ってる気分」になるのでむしろ有害。
ネット系銀行ならSMSもTOTPも今となっては常識だし素直にこっちでいい。