パスワードを忘れた? アカウント作成
11614 story

三井住友銀行がワンタイムパスワード採用 104

ストーリー by yoosee
RSA持ち歩く人が増えるだろうか… 部門より

kyayoi曰く、"三井住友銀行は 高木氏に「すばらしい」と評された 簡単!やさしいセキュリティ教室」に続き、ネットバンキングでワンタイムパスワードを採用することを発表しました。 RSAセキュリティ社のハードウェアトークン生成機を使用して、これに表示された数値をパスワードとして使用する方法です。口座持っている方、使われますか?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2006年01月13日 13時19分 (#864006)
    独自開発の変なのじゃなくて実績のあるRSAのを採用したのがポイント高い。
  • by shesee (27226) on 2006年01月13日 13時26分 (#864014) 日記
    パスワードの安全性を高める手段としていい方法だね。
    高木さんがほめたドキュメントもすばらしいんだけど..

    願わくば、もっと原始的なリスク管理にも踏み込んでほしいな

    たとえば
    • 毎日残高を確認する
    • 日々使うお金以外は定期や債権・投信にして流動性をなくして、破られたときの被害を最低限にする
    • 引き出し/取引限度額を下げる
    • 最低限の現金しか持たず、高額品は信用取引する
    • 無人店舗のキャッシャーは使わない
    • 通帳や明細は確認する

    クラックもセキュリティーも基本はソーシャル的手法が最上です

    p.s.三井住友は入出金ごとのお知らせメールサービスを有料で行っていてますね。
    あと金利は最低レベルで、手数料も高いです
    安全性に対してちゃんとコストを請求する姿勢はとても正しいと思います
    あと、三井住友のキャッシャーは暗証番号の10キーがシャッフルされてます
    • by high (3216) on 2006年01月13日 18時57分 (#864246) 日記
      みんな?ほめてるので,けなす文脈で
      Bruce Schneier氏のCRYPTO-GRAM(の日本語訳)
        * 銀行と二因子認証(Banks and Two-Factor Authentication)
      http://itpro.nikkeibp.co.jp/article/COLUMN/20051212/226060/ [nikkeibp.co.jp]
      を紹介しておきます.
      親コメント
    • by STnet (19911) on 2006年01月13日 14時01分 (#864045)
      >あと、三井住友のキャッシャーは暗証番号の10キーがシャッフルされてます
      そうそう、それに気づかずに暗証が間違ってますと何度か言われてやっと気づいた私
      オンラインバンキングのログイン画面でもソフトウェアキーボードがあったりで、いろいろ頑張ってますよね
      親コメント
  • by Anonymous Coward on 2006年01月13日 13時26分 (#864013)
    http://www.smbc.co.jp/news/image_uniq/j600034_01.jpg [smbc.co.jp]
    スクリーンショットなのか?

    それとパスワード発生器を盗まれたらどうするの?
    強盗が殺害してパスワード発生器を使ったら
    被害届はでないまま使いたい放題にはならないのだろうか?
  • by Anonymous Coward on 2006年01月13日 13時29分 (#864016)
    入力ゆっくり君だと問題にならないのか気になります。おばあちゃんとか。

    傍受したパスワードを有効期間中にすかさず使用すると破られてしまうのですが、これは既知の脆弱性なのでしょうか^^;

    あと、プレスリリースではRSA SecurID 700を採用とも書いてありますが、入力するパス桁数が6桁と図解されており、RSA SecurID 200やRSA SecurID 520にならないのかなぁ?という気がするんですけど、どうなんですかね?

    #無料でトークン配るとは思えないのだけど「いくらかかる」が書いてないのはナゼ??
    無料なら、みずほから乗り換えたいな
    • by zenkakueisuuji (20374) on 2006年01月13日 13時42分 (#864030) 日記

      > 傍受したパスワードを有効期間中にすかさず使用すると破られてしまうのですが、これは既知の脆弱性なのでしょうか^^;

      プレスリリースに

      一度認証に成功したパスワードは、その時点で利用できなくなりますので、万が一スパイウェア等によって入力したパスワードを盗まれてしまった場合でも、悪用されるリスクが極小化されます。

      とありますが?

      親コメント
    • >「いくらかかる」が書いてないのはナゼ??

      ニュースリリースの2ページ目に書いてありますよ.
      #最初次のページがあるとは気づきませんでしたが.

      初期費用ゼロ,月額105円だそうで.
      親コメント
  • by yamajaki (13288) on 2006年01月13日 13時58分 (#864043)
    やっぱし複数のトークンを持ち歩くことになるんでしょうか?

    それもそれでいやんだなぁ.
  • by Anonymous Coward on 2006年01月13日 14時17分 (#864057)
    ちょっと細かい事覚えてないですが、
    設定デフォの私でもそこそこ構成が硬くて、確かパスワードが2種類だかあるんですよ。
    ふつうにID/PASS突っ込んで、ログインして口座照会等ができるんですね。
    それと、振り込む時に銀行から送られてきた記号表を参照するんだっけかなぁ・・・
    暗号表はX,Yの座標の記号を選べx2みたいな感じで、座標は毎回変わるんで、入力から盗聴された場合には多少の抵抗力を見せます。

    要するに、現段階で口座から他に流すにはパスワードと記号表が必要なんですね。
    記号表コピーされた。という事態を防ぐのには高い効果がありそうですね。
    でもパスワードがバレて記号表かトークン生成機奪われて、かつそれに気がつかないならあまり変わらない。

    導入はどーなのかなぁ。
    毎月105円、年間1260円。んー・・金庫が高価でも中身が(ry

    #あと、設定変えるのに別なパスワードがあったんだっけ・・・?
    #なんというか、パスワードに埋もれる日々ですねぇ・・・

    #本当は生活費以上の使わないお金はネットに繋がってない安全な口座(なんだそりゃ)にカードも作らずに移動させるべきなんでしょうね。
  • by QT (16688) on 2006年01月13日 15時01分 (#864087) ホームページ 日記
    チャレンジ&レスポンスのほうが、単純なパスワード流用のリスクは減ると思うのだけど、どうだろか。
    それで、DigiPassの260or300みたいなトークンを使えば、チャレンジコードを画面上にフラッシュパターンとして
    表示してそれを光学読み取りできるので、チャレンジコード入力の手間やチャレンジコードが漏れる心配もないし。

    VASCO Digipass トークン仕様 [hucom.co.jp]

    まあ、暗号はRSAじゃなくて3DESですけどね。
  • by Anonymous Coward on 2006年01月13日 13時43分 (#864031)
    近所に支店があるのでってことで口座は作って、印税受け取りとか
    税金還付受け取りに使ってはいるのだが、
    その口座は常時金を入れているわけではないので、どうするか微妙
    # 毎月とられるのがなぁ。毎年とかなら...

    --
    Web通帳にはしている AC
  • by st_u (15841) on 2006年01月13日 13時44分 (#864033)
    三井住友で口座を持っていて、ネットバンキングも利用してます。
    現在は認証にマトリクス認証を利用していますが、
    頻繁にネットバンキングを利用する身としては、
    この暗号表持ち歩くのって、結構不安なんですよね。

    盗み見でコピーできそうな内容なので、
    人前で使う時は特に気を使います。
    これが、トークンを利用してのOTPになるんであれば、
    仮に番号覚えられても大して問題ないですからね。

    トークンを紛失すれば、紛失したことに気付きやすいし。
    (暗号表だと、万が一コピーされても、まず気付かない)

    以前仕事で利用したことあるのですが、
    カード型のトークン [rsasecurity.com]とかも選べるようにしてくれたら、
    財布とかに突っ込めて尚良かったんですけどね。

    あと、せっかくなんで、通常のATMでの認証でも
    OTP利用できるようにしてほしいなぁ。

    サービスインしたら、申し込んでみたいと思います。
  • 「パスワードを書いたものを残すな」
    ってのは鉄則の一つだと思うんだけどパスワードが記載されたトークンが配布されるわけで。

    これはつまり、通帳と印鑑レベルまで認証システムを後退させるってことですよね

    そうすると、泥棒やひったくりにあった場合にはむしろリスクが増すんじゃなかろうか??

    あとRSAのトークンは財布に入れるにはデカイ。
    • by Anonymous Coward on 2006年01月13日 15時16分 (#864092)
      >泥棒やひったくりにあった場合にはむしろリスクが増すんじゃなかろうか

      確かにネットバンクというのを、携帯端末やネットカフェへの持ち運びを
      想定した上でカードやトークンが盗まれる可能性を考慮すると、
      これは全く対抗できないし、ある意味で危険は大きくなったかもしれない。
      盗まれた時点で利用停止手続きを取ってくださいと思うわけで、
      盗まれた事を気づかせずに行われにくくなっているとも言えます。

      想定しているのは、自宅かそれに準じる安全な場所での利用だと思いますけどね。
      親コメント
    • by Anonymous Coward on 2006年01月13日 15時55分 (#864119)
      >「パスワードを書いたものを残すな」
      >ってのは鉄則の一つだと思うんだけど
      パスワードは紙等に書け、そして(財布と同程度に)セキュアに保管しろ [nikkeibp.co.jp]、ていう説もありますがね

      >これはつまり、通帳と印鑑レベルまで認証システムを後退させるってことですよね
      >そうすると、泥棒やひったくりにあった場合にはむしろリスクが増すんじゃなかろうか??
      今回のはネットバンキング用で、かつ上で出てるようにパスワード併用なんだから、

      • 従来: パスワードを破られたらアウト
      • 今後: パスワードとSecurIDの両方を破らなければ盗めない
      どっちが安全?
      親コメント
  • by Anonymous Coward on 2006年01月13日 16時36分 (#864151)
    USBか何かでSSLのクライアント認証した方が、簡単じゃないのかな。
    パスワードの総当たりと、ワンタイムパスワードの総当たり、同じ桁数なら入れる確率は同じかも?
    • by yagawa (23710) on 2006年01月13日 17時20分 (#864189)
      多分、ワンタイムのほうが確率低いんじゃないですかねえ…。

       通常パスの総当り=ハズレクジを戻さないクジ引き
       ワンタイムパスの総当り=ハズレクジを戻すクジ引き

      ……という印象なんですけど。
      60秒以内に総当り完了できたら一緒かな?

      # 確率はずっと苦手分野;)
      親コメント
      • by bldbrrrw (20638) on 2006年01月13日 18時03分 (#864214) 日記
        フツウはトークン使ったら60秒待って、次のトークンにならないと入力を
        受け付けないようにして、総当りを回避すると思うんですが。
        今回は違うんでしょうか?

        #ATMの待ち行列が長くなるからやりたくてもできない?
        親コメント
typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...