三井住友銀行がワンタイムパスワード採用 104
ストーリー by yoosee
RSA持ち歩く人が増えるだろうか… 部門より
RSA持ち歩く人が増えるだろうか… 部門より
kyayoi曰く、"三井住友銀行は 高木氏に「すばらしい」と評された「 簡単!やさしいセキュリティ教室」に続き、ネットバンキングでワンタイムパスワードを採用することを発表しました。 RSAセキュリティ社のハードウェアトークン生成機を使用して、これに表示された数値をパスワードとして使用する方法です。口座持っている方、使われますか?"
俺もみずほちゃんから乗り換えようかな? (スコア:5, 興味深い)
セキュリティーコスト (スコア:5, 参考になる)
高木さんがほめたドキュメントもすばらしいんだけど..
願わくば、もっと原始的なリスク管理にも踏み込んでほしいな
たとえば
クラックもセキュリティーも基本はソーシャル的手法が最上です
p.s.三井住友は入出金ごとのお知らせメールサービスを有料で行っていてますね。
あと金利は最低レベルで、手数料も高いです
安全性に対してちゃんとコストを請求する姿勢はとても正しいと思います
あと、三井住友のキャッシャーは暗証番号の10キーがシャッフルされてます
Re:セキュリティーコスト (スコア:3, 参考になる)
Bruce Schneier氏のCRYPTO-GRAM(の日本語訳)
* 銀行と二因子認証(Banks and Two-Factor Authentication)
http://itpro.nikkeibp.co.jp/article/COLUMN/20051212/226060/ [nikkeibp.co.jp]
を紹介しておきます.
Re:セキュリティーコスト (スコア:2, 興味深い)
そうそう、それに気づかずに暗証が間違ってますと何度か言われてやっと気づいた私
オンラインバンキングのログイン画面でもソフトウェアキーボードがあったりで、いろいろ頑張ってますよね
Re:セキュリティーコスト (スコア:2, すばらしい洞察)
実際の被害は、後ろや横から覗き見てからカードを盗むという被害のほうが大きいんでしょう。
#カードを盗まれて、なぜかパスワードを破られるという被害はかなりあります。
#多くの事件では犯人が捕まらないので、覗いていたかは多分に推測ではありますが。
全てに対して(誰でも簡単に使える)有効な手段が無いわけですから、
被害が大きい・(隠しカメラのように特殊な機材が必要ではなく)敷居の低いものに対応するのは当然かと思います。
#テンキーのブラインドタッチなんて、普通できませんよ。
#うちの祖母は、指では細かいものが押せないので、手にボールペンもってリモコンのボタン押してますし。
三井住友銀行のレベルが気になる。 (スコア:3, 興味深い)
スクリーンショットなのか?
それとパスワード発生器を盗まれたらどうするの?
強盗が殺害してパスワード発生器を使ったら
被害届はでないまま使いたい放題にはならないのだろうか?
Re:三井住友銀行のレベルが気になる。 (スコア:5, 参考になる)
RSAの製品だと
・ワンタイムパスワード発生器自身にパスワードを付ける方法
・パスワードとワンタイムパスワードを繋げた文字を認証パスワードとする方法
があって、RSA SecurID 700 は後者
Re:三井住友銀行のレベルが気になる。 (スコア:4, 参考になる)
それを言ったら普通のキャッシュカードだって・・・
#今回のものは通常の暗証番号による認証も必要です.
Re:三井住友銀行のレベルが気になる。 (スコア:2, 参考になる)
三井住友のネットバンキングのパスワードはATMの暗証番号とは別のパスワード(数字4文字じゃなく英数記号の長い文字列)を指定できます。
SecurIDのPINもATMとは別のを指定できるようにするのでは。
Re:三井住友銀行のレベルが気になる。 (スコア:3, 興味深い)
なので、公式文書は画像データという暗黙の了解があるのではないでしょうか。
Re:三井住友銀行のレベルが気になる。 (スコア:5, すばらしい洞察)
Re:三井住友銀行のレベルが気になる。 (スコア:4, おもしろおかしい)
Re:三井住友銀行のレベルが気になる。 (スコア:2, 参考になる)
まぁディスプレイにパスワードのメモを貼るのと同様、パスワード発生器をそこらに放置しているんじゃ意味ないけどね。
# やっぱりソーシャルクラッキングが一番問題だわな
ナマケモノ、じゃなかった (スコア:3, すばらしい洞察)
傍受したパスワードを有効期間中にすかさず使用すると破られてしまうのですが、これは既知の脆弱性なのでしょうか^^;
あと、プレスリリースではRSA SecurID 700を採用とも書いてありますが、入力するパス桁数が6桁と図解されており、RSA SecurID 200やRSA SecurID 520にならないのかなぁ?という気がするんですけど、どうなんですかね?
#無料でトークン配るとは思えないのだけど「いくらかかる」が書いてないのはナゼ??
#無料なら、みずほから乗り換えたいな
Re:ナマケモノ、じゃなかった (スコア:3, 参考になる)
> 傍受したパスワードを有効期間中にすかさず使用すると破られてしまうのですが、これは既知の脆弱性なのでしょうか^^;
プレスリリースに
とありますが?
Re:ナマケモノ、じゃなかった (スコア:2, 参考になる)
(職場で使っているのでAC)
Re:ナマケモノ、じゃなかった (スコア:2, 参考になる)
ニュースリリースの2ページ目に書いてありますよ.
#最初次のページがあるとは気づきませんでしたが.
初期費用ゼロ,月額105円だそうで.
トークンの有効期限は60秒ではありません。 (スコア:1, 興味深い)
電波時計と言うソリューションは今後あり得るなぁ
#絶対AC
Re:トークンの有効期限は60秒ではありません。 (スコア:4, 参考になる)
そのため、サーバ側は 60秒よりも少し余裕を持って、前後のOTPとの突き合わせをしているようです。
また、トークンと認証サーバの同期ずれが広がった場合は、認証サーバが再認証を要求します。
(認証サーバの要求をアプリケーションがどう処理するかは実装依存)
利用者は入力したOTPが変わるまで待ち(最長1分)、新しいOTPを入力することになります。
二回目のPIN、OTPが正しければ、サーバ側でトークンとの時間のずれを調整するようです。
---
(RSAの中の人ではないので調整方法は予想で書いてます)
他の銀行も追随したら (スコア:2, 興味深い)
それもそれでいやんだなぁ.
Re:他の銀行も追随したら (スコア:1)
それが逆に囲い込みの手段とも言えますね.
Re:他の銀行も追随したら (スコア:1)
Re:他の銀行も追随したら (スコア:1)
三井住友銀行に口座もってますが・・・ (スコア:2, 参考になる)
設定デフォの私でもそこそこ構成が硬くて、確かパスワードが2種類だかあるんですよ。
ふつうにID/PASS突っ込んで、ログインして口座照会等ができるんですね。
それと、振り込む時に銀行から送られてきた記号表を参照するんだっけかなぁ・・・
暗号表はX,Yの座標の記号を選べx2みたいな感じで、座標は毎回変わるんで、入力から盗聴された場合には多少の抵抗力を見せます。
要するに、現段階で口座から他に流すにはパスワードと記号表が必要なんですね。
記号表コピーされた。という事態を防ぐのには高い効果がありそうですね。
でもパスワードがバレて記号表かトークン生成機奪われて、かつそれに気がつかないならあまり変わらない。
導入はどーなのかなぁ。
毎月105円、年間1260円。んー・・金庫が高価でも中身が(ry
#あと、設定変えるのに別なパスワードがあったんだっけ・・・?
#なんというか、パスワードに埋もれる日々ですねぇ・・・
#本当は生活費以上の使わないお金はネットに繋がってない安全な口座(なんだそりゃ)にカードも作らずに移動させるべきなんでしょうね。
Re:三井住友銀行に口座もってますが・・・ (スコア:3, 参考になる)
送金など:+第二暗証
設定変更:+第三暗証
ですよん。
第三暗証は、第二暗証(暗号表の4x4マトリクス)の
どれかと同じ番号です。
Re:三井住友銀行に口座もってますが・・・ (スコア:2, 参考になる)
さらに重要な手続きをする際には、その乱数表の1項目を事前に
指定してある数字を第三暗号として使うこともあります。
チャレンジ&レスポンス希望 (スコア:2, 参考になる)
それで、DigiPassの260or300みたいなトークンを使えば、チャレンジコードを画面上にフラッシュパターンとして
表示してそれを光学読み取りできるので、チャレンジコード入力の手間やチャレンジコードが漏れる心配もないし。
VASCO Digipass トークン仕様 [hucom.co.jp]
まあ、暗号はRSAじゃなくて3DESですけどね。
口座はあるのだが (スコア:1, 興味深い)
税金還付受け取りに使ってはいるのだが、
その口座は常時金を入れているわけではないので、どうするか微妙
# 毎月とられるのがなぁ。毎年とかなら...
--
Web通帳にはしている AC
これいいですね。 (スコア:1)
現在は認証にマトリクス認証を利用していますが、
頻繁にネットバンキングを利用する身としては、
この暗号表持ち歩くのって、結構不安なんですよね。
盗み見でコピーできそうな内容なので、
人前で使う時は特に気を使います。
これが、トークンを利用してのOTPになるんであれば、
仮に番号覚えられても大して問題ないですからね。
トークンを紛失すれば、紛失したことに気付きやすいし。
(暗号表だと、万が一コピーされても、まず気付かない)
以前仕事で利用したことあるのですが、
カード型のトークン [rsasecurity.com]とかも選べるようにしてくれたら、
財布とかに突っ込めて尚良かったんですけどね。
あと、せっかくなんで、通常のATMでの認証でも
OTP利用できるようにしてほしいなぁ。
サービスインしたら、申し込んでみたいと思います。
暗記してるほうがよくない? (スコア:1)
ってのは鉄則の一つだと思うんだけどパスワードが記載されたトークンが配布されるわけで。
これはつまり、通帳と印鑑レベルまで認証システムを後退させるってことですよね
そうすると、泥棒やひったくりにあった場合にはむしろリスクが増すんじゃなかろうか??
あとRSAのトークンは財布に入れるにはデカイ。
Re:暗記してるほうがよくない? (スコア:2, すばらしい洞察)
確かにネットバンクというのを、携帯端末やネットカフェへの持ち運びを
想定した上でカードやトークンが盗まれる可能性を考慮すると、
これは全く対抗できないし、ある意味で危険は大きくなったかもしれない。
盗まれた時点で利用停止手続きを取ってくださいと思うわけで、
盗まれた事を気づかせずに行われにくくなっているとも言えます。
想定しているのは、自宅かそれに準じる安全な場所での利用だと思いますけどね。
Re:暗記してるほうがよくない? (スコア:1, 興味深い)
>ってのは鉄則の一つだと思うんだけど
パスワードは紙等に書け、そして(財布と同程度に)セキュアに保管しろ [nikkeibp.co.jp]、ていう説もありますがね
>これはつまり、通帳と印鑑レベルまで認証システムを後退させるってことですよね
>そうすると、泥棒やひったくりにあった場合にはむしろリスクが増すんじゃなかろうか??
今回のはネットバンキング用で、かつ上で出てるようにパスワード併用なんだから、
Re:暗記してるほうがよくない? (スコア:2, すばらしい洞察)
じゃあ財布にキャッシュカードを入れるのも止めたほうがいいですね。
という冗談はさておき。
印鑑同様の効力を持つものが玩具っぽい形をしているために、印鑑ほど慎重には取り扱われない可能性は高いと思います。
Re:暗記してるほうがよくない? (スコア:1, 参考になる)
安全性は格段に高まるはず。
それに今回のはスパイウェアによる暗証番号
流出対策というのが一番の目的だろうから、
その点でも効果は高いだろうと思う。
そんなもの・・・ (スコア:1, 興味深い)
パスワードの総当たりと、ワンタイムパスワードの総当たり、同じ桁数なら入れる確率は同じかも?
Re:そんなもの・・・ (スコア:1)
通常パスの総当り=ハズレクジを戻さないクジ引き
ワンタイムパスの総当り=ハズレクジを戻すクジ引き
……という印象なんですけど。
60秒以内に総当り完了できたら一緒かな?
# 確率はずっと苦手分野;)
Re:そんなもの・・・ (スコア:1)
受け付けないようにして、総当りを回避すると思うんですが。
今回は違うんでしょうか?
#ATMの待ち行列が長くなるからやりたくてもできない?
Re:そんなもの・・・ (スコア:2, 参考になる)
何回か認証に失敗するとロックがかかります。
この解除が面倒くさいのですよ・・・
RSA ACE/Serverがうんたらかんたら・・・
#SecurID 520なのでID
We believe you can fly.
Re:月額105円(税込) (スコア:5, すばらしい洞察)
Re:月額105円(税込) (スコア:3, 興味深い)
# 大量導入で、なのか、特製安トークンがあるのか?(ないない
みんつ
Re:月額105円(税込) (スコア:3, 参考になる)
今気づいたけど、裏面に "11/30/06" って書いてあります。賞味期限切れ間近の売れ残りなのかも・・・。
Re:月額105円(税込) (スコア:5, 参考になる)
安いものじゃないので、残骸の有効活用に、せめて電卓機能くらいつけろーとか叫んでいた覚えが。
#まだ RSA じゃなくて Security Dynamics の製品だった頃だ (^^;
みんつ
Re:月額105円(税込) (スコア:1, おもしろおかしい)
2011年30月6日まで有効なんだと思いますよ。
#マジレス禁止
Re:月額105円(税込) (スコア:1)
平成11年30月6日なので、期限切れです。
Re:月額105円(税込) (スコア:2, 参考になる)
正確な金額は知りませんが、1個あたり万単位の金額じゃなかったかと思います。
Re:月額105円(税込) (スコア:2, 参考になる)
Re:月額105円(税込) (スコア:2, 参考になる)
Re:月額105円(税込) (スコア:2, 参考になる)
http://japan.zdnet.com/news/sec/story/0,2000052528,20085976,00.htm [zdnet.com]
これを見て、
何処かが採用するときも大体 \10k/year ぐらいになっちゃうだろうなー、なんて思ってたんですが、意外や意外と言った感じ。
\1.2k/year で OTP を希望する人がどれくらい居るのか予想しづらいのですが、ネイムヴァリューを使ってかなり安く導入できたとしたしか思えないなあ…
Re:月額105円(税込) (スコア:1, 興味深い)
それを言ったら、銀行のATMシステムって、全ての客が平日の昼間しか使わないとしても無料で導入できるような価格じゃないですよねぇ。;-)
Re:月額105円(税込) (スコア:2, 参考になる)
クレジット機能なしの IC カードだと金取られますよ、5年ごとに更新料2100円。
ていうか、適用対象の違うものを比較してもなぁと思うんだけど...
--
その手のカードなら三井住友にもあるしなぁ(有料)