パスワードを忘れた? アカウント作成
13200 story

三井住友ビザカード、類推されやすい暗証番号でのログインを停止 82

ストーリー by yoosee
定番の誕生日はいいのかな 部門より

Anonymous Coward曰く、"先日、「福井銀、類推されやすい暗証番号を利用停止に」というストーリーがありましたが、21日、三井住友ビザカードから、以下のようなお知らせが出ました。

連続する同じ数字(9999など)等、第三者に類推されやすい暗証番号でのログインは、2006年8月21日よりできないようになりました。VpassID登録(無料)のうえご利用ください。
今までそういうのを停止していなかったのですね。クレジットカードは預金者保護法の対象ではないはずですが、銀行のみならずこういう動きが広がっていくのでしょうか。

なお、ログインできなくなった人には「ID登録のうえご利用ください」とされていますが、そのID登録でも暗証番号が必要になっているわけで、こちらは停止されていないのだろうかと、いまいち腑に落ちません。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Cowboy (6205) on 2006年08月21日 21時56分 (#1001761)
    暗証番号が数字4桁限定というのからなんとかしてくれないかな。そろそろ。
    • by Anonymous Coward on 2006年08月21日 23時33分 (#1001840)
      日本だけ8桁とかにすると海外で使えなくなる。
      同時移行は無理だし・・・
      親コメント
    • by Rodin (28411) on 2006年08月22日 7時44分 (#1001954)
      ゾロ目禁止(9999など)、連番禁止(1234など)、日付禁止(0101~1231)、
      和暦年月禁止(6301、1804など)、西暦年月禁止(9001、0004など)、
      語呂禁止(4649、5963など)、ポケベル語禁止(0753、0840など)・・・

      やりすぎると0000~9999の1万通り使えた暗証番号が、数百通りしか
      使えなくなったりして。規制するなら桁を増やさないと。
      --
      匠気だけでは商機なく、正気なだけでは勝機なし。
      親コメント
      • by chronatog (8479) on 2006年08月22日 10時35分 (#1002022) 日記
        その中のうち、日付と年月については自分の個人情報と関連しないものなら許容してもいいのではないでしょうか。

        と、書いたところでどこまでが自分に関連する情報として扱われるのか不安になってきました。

        例)
        0822、と。「お客様、その数列は奥様の弟様の誕生日に合致します。再度ご入力ください。」じゃ1218、かな。「お客様、その数列は伯父にあたる方の誕生日に合致します。再度ご入力ください。」…10年に一度しか会わないぞ…えい、もうランダムで0928!「お客様、その数列は従姉にあたる方の配偶者の方の誕生日に(略)」……俺でもそこまでシランガナ(;´д`)、じゃあ日付になるようなのは避けて1453!「お客様、その数列はお父様が興味をもたれていた天文学ではコペルニクスの地動説発表の年号に(略)」( ゚д゚ )
        親コメント
    • by Anonymous Coward on 2006年08月21日 22時05分 (#1001769)
      そのほうが「自分だけが覚えやすい」特定のパターンを沢山用意できる。
      桁が増えるとバリエーションが減るからローテーションし辛い。
      親コメント
    • by Anonymous Coward on 2006年08月21日 23時04分 (#1001820)
      4桁であれもダメこれもダメとなると、使えるコードが限定されて、逆に脆弱になったりして
      親コメント
    • > 暗証番号が数字4桁限定というのからなんとかしてくれないかな。

      少佐「2501、次に会うときの合い言葉にしましょう」
      バトー「……4桁じゃセキュリティがなあ…」

      # 原作だとクラシック音楽の何小節分とかにしてましたっけ。
      親コメント
  • それ以前に (スコア:5, 参考になる)

    by Anonymous Coward on 2006年08月21日 22時06分 (#1001771)
    オマエ [smbc-card.com]は一体何をしているのか、と。

    http://takagi-hiromitsu.jp/diary/20060810.html [takagi-hiromitsu.jp]
    • Re:それ以前に (スコア:5, 参考になる)

      by baka_gahaku (4542) on 2006年08月21日 23時23分 (#1001832) 日記
      そのリンク先は、8/10に書かれたものみたいだけれども、今見てみたら、数字がアップデートされていた。

      ・背景が白から薄い黄色になり、かわいらしい印象を与えるようになっていた。
      ・各数字に入っている模様の円弧やノイズ風味のバーが、他の数字と入れ替わっていた。

      うん、つまり数字の画像ファイルをアップデートした見たいなんだけど、問題点は何も変わっていなかった(数字の形もそのままだった)。

      コリャ簡単に自動化されちゃうよ。
      親コメント
      • Re:それ以前に (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2006年08月22日 8時51分 (#1001966)
        >今見てみたら、数字がアップデートされていた。

        背景を黄色に変えた意義がさっぱりわからんのだけど、
        「変えましたよ」と社の幹部に理解させるためかなあ。

        パターンを変えたところであいかわらず10種類しかないのだから、
        何の意味もないわけだけど、
        誰かが黄色のパターン10枚をブログとかに晒したら、
        今度はピンクとかブルーのパターンに差し替えるんだろうかね。

        でまた晒し続けたりすると、業務妨害で告訴かもしれん。
        最初の2、3回は「こんな杜撰なことをやっていて危ない」って危険を訴える意味があるけど、
        もうわかっているのに何回も晒し続けるのは、たしかに業務妨害にあたるかもしれん。

        いやもちろん、晒しても何にも危険は増えてないんだけどね。
        誰でも3回リロードすれば10枚揃うわけで。

        「晒されたからパターンを変更した。なんども変更を余儀なくされて業務を妨害された」
        デジタルデバイド裁判官だったら信じちゃいそうで怖いよ。
        親コメント
  • まとめてみた (スコア:5, 参考になる)

    by baka_gahaku (4542) on 2006年08月21日 22時47分 (#1001801) 日記
    三井住友VISAカードのユーザーなので、他人事じゃないと思い、タレコミのリンク先を何回か読んだけれどもわからなかったので、調べてみた。

    ・問題になっているサービスとは何か?
    三井住友VISAカードの会員向けサービス、Vpassである。

    ・Vpassとは何か?
    三井住友VISAカードの会員(つまりカード持ち)相手のサービスで、カード情報の紹介、明細表示、新規カードの発行、買い物等ができる。
    Webでログインして行う。

    ・ログインする方法は?

    2種類ある。

    その1
     VpassIDとVpassのパスワードのペアで、ログインを行う。
     これらはWebで登録する。
     IDは、新規登録時に割り振られる、その後自分で変更する。
     パスワードは、「半角英数6~8文字」「※大文字小文字は区別されます。」「※同じ文字の羅列、生年月日など類推されやすいパスワードの設定はお控えください。」とのこと。

    その2
     カードの番号とカードの暗証番号のペアを使い、その後画面に表示された4ケタの数字の画像をみて、その数字を入力する。
     今回ログイン出来ないようになったのは、この暗証番号である。

    ・ログイン出来なくなった人は、どうすればいいの?
     ログイン方法その1の、VpassIDを取得する。
     (その時、Vpassパスワードも設定する)

    ログインする方法が2種類あって混乱しやすいので、雑談する場合には注意してください。
  • by funnyfan (27822) on 2006年08月21日 22時00分 (#1001763)
    連続する同じ数字(9999など)等、第三者に類推されやすい暗証番号でのログインは、2006年8月21日よりできないようになりました。VpassID登録(無料)のうえご利用ください。
    メールで「無料登録はこちら [slashdot.jp]から!」
    とかやったら簡単にフィッシングとかできそうですね
    # このリンクに意味はないですが;-)
  • by Anonymous Coward on 2006年08月21日 22時34分 (#1001795)
    ID云々言うのは蜜墨(2ちゃん用語)のVpassのIDは機械的に作成された7桁の英数字+ユーザーが決めた英数字パスフレーズなのに対し、カード番号でのログインは16桁の数字なのに加え、頭4桁は誰でも知ってる4980だし、下一桁はチェックサムだから、機械的に生成しやすいことに加え、パスワードが暗証番号なところに問題があります。

    つまり、ここでカード番号と暗証番号を総当りでチェックして、うまくいった組み合わせでスキミングカードを作成して最寄のATMに駆け込みキャッシングすれば現金が手に入る。その上、暗証番号取引なので不正利用に対する保険の適用対象外

    ただし、この方法は蜜墨の暗証番号管理方法に重大な瑕疵があると(私は)思うので、腕のいい弁護士が突っ込めば裁判に負けるでしょう。

    ちなみに以前は「従来の会員番号・暗証番号に加えて、画面に表示された4桁の数字を入力」もなかったので本当に機械的総当りが出来ちゃったんです。

    参考
    第8条(暗証番号)
    1.当社は、本会員より申出のあったカードの暗証番号を所定の方法により登録します。但し、申出がない場合または当社が定める指定禁止番号を申出た場合は、当社所定の方法により登録します。
    2.会員は、暗証番号を他人に知られないよう、善良なる管理者の注意をもって管理するものとします。カード利用にあたり、登録された暗証番号が使用されたときは、当社に責のある場合を除き、本会員は、そのために生ずる一切の債務について支払いの責を負うものとします。


    #世界が認めたステイタス [smbc-card.com]ホルダーなAC
    • by Anonymous Coward on 2006年08月21日 22時59分 (#1001812)
         \  __  /
           _ (m) _ピコーン
             |ミ|
          /  .`´  \
              (゚д゚ )  そうか!暗証番号を9999に変更すればいいんだ!
            ノヽノ |       
              < <
      親コメント
    • by Anonymous Coward on 2006年08月22日 10時05分 (#1002000)
      電話でお願いすれば、暗証番号でのログインの方を止めてくれるらしいよ。

      http://life7.2ch.net/test/read.cgi/credit/1153137372/679-681n [2ch.net]

      679 :名無しさん@ご利用は計画的に :2006/08/21(月) 23:25:49
              >>678
              309 :名無しさん@ご利用は計画的に :sage :2006/08/03(木) 15:00:44

              >>289
              『Vpassでの暗証番号でのログインサービスを停止できないか』
              という件について問い合わせたら以下のような返信が来た。
                ↓

              平素は三井住友カードをご利用いただきありがとうございます。
              また、この度は貴重なご意見をありがとうございます。

              お申し出いただきました、会員番号・暗証番号でのログインに
              つきましては、お電話でのお申し出によりましてご利用を停止
              させていただくことが可能でございます。

               ◇Vpassサポートデスク
               TEL 06-6445-3735
               受付時間 9:00~21:00 (12/30~1/3休)

              また、ご指摘のような異例な(不正)アクセスがあった場合は、
              システム的に制御するよう考慮しております。
              (詳細は、セキュリティ上の問題のため開示いたしかねます)

              引き続き、より良いサービスのご提供に努めて参りますので
              今後もご愛顧たまわりますよう、どうぞよろしくお願い申し上げます。

              **************************************************************
              三井住友カード株式会社
              E-Mail webmaster@smbc-card.com
              **************************************************************

      681 :名無しさん@ご利用は計画的に :2006/08/21(月) 23:32:43
              >>679
              > システム的に制御するよう考慮しております。
              > (詳細は、セキュリティ上の問題のため開示いたしかねます)

              高度に発展したセキュリティ技術はハッタリと区別が付かない
      親コメント
    • >最寄のATMに駆け込み
      この時点でしっかりとアシが付くのでダメでしょう。
      # 回避する方法はいくつか思い付いたけどしみつだ。
      親コメント
  • by Anonymous Coward on 2006年08月21日 23時00分 (#1001814)
    三井住友カードのサービスのお話なんだから、VISAだけに限ったようなタレコミ文の表現は不正確だと思うのです。
  • 絵文字とか
    好きな音楽とか
    答えのないクイズの回答とか...

    あれ、この前と同じこと書いてるな
    • フィッシングアンケート (スコア:4, おもしろおかしい)

      by Anonymous Coward on 2006年08月21日 22時23分 (#1001785)
      きれーなおねーさんに引っかかってアンケートに答える

      「好きな絵文字をかいてください^^」

      「好きな音楽はなにですか?^^」

      「答えのないクイズを考えてください^^」

      数日後、見ず知らずの多額の請求が・・・orz

      親コメント
      • ジャンクパーツ買いあさりに出かけたある週末のこと。
        あまりにもあつかったので、わざと引っかかってみた。
        タダで冷たいお茶が出たので100円マックより安い。
        全く説明聞かずに、買ったガジェットをいじってたら
        ヲサーンにキレられかけたので帰ってきた。

        暴力的な言葉はあったけど実際の暴力はなかったので、
        外国に行って現地人とトラブって言葉が分からないので
        店から出てきました、なノリで無問題だと思う。
        なまじ相手の言葉が分かるのでビビるけど、
        心のスイッチをオフにしてヲタ臭におわせながら
        ブツブツつぶやいてると、相手も引く模様。
        売り払う予定が決心付かず結局持ちあるいていた
        ゴールドクロスのプラモも功を奏したのだろうか。

        #「なまじ」という日本語の使い方が
        #合っているのかどうか自信がない。
        --
        屍体メモ [windy.cx]
        親コメント
      • by Anonymous Coward on 2006年08月22日 9時33分 (#1001986)
        きれいなおねーさんには引っかかりませんがチョコバーには引っかかちゃいます。
        親コメント
      • いや、そういうアンケートがあると、

        「それは個人情報ですから」

        と簡単に断れなくては駄目です。
  • カード屋の責任だ! (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2006年08月22日 7時56分 (#1001955)
    少し話はそれるかも知れないが、キャッシュカードなどの偽造が横行する昨今。うちの親の反応を見ていても思ったが、我々のような IT に近い人間意外は、カードが偽造されたら全て終りで、そのまま現金が簡単に引き出せると思っている。暗証番号も一緒に偽造される。

    カードの偽造 ---> 偽造されるのは銀行(カード屋)のカードの問題

    自分等には責任はいっさいない。
    偽造されたら暗証番号も同時に盗まれる。

    くらいの発想です。原則的にはカード中には暗証番号情報は入っていなくて、偽造されても本来ならば、そのままでは使うことができない。ということをほとんどの人は知らない(無論スラドの住人の様な IT に近い側の人は別)

    マスコミでもなんでも「偽造」「偽造」

    と偽造する側が悪くて、偽造されたら防ぎようがない。偽造されたら即現金を引き落とされる。というイメージを定着させているようにしか思えない。暗証番号の強度が低くて、個人情報の流出と合わせてというのが危険であるという警告をほとんどされてない。

    責任がカードにあるという風潮です。
    暗証番号に責任があるとはほとんど思ってない。

    生体認証にしても、暗証番号の強度をあげるため(認証)というイメージはたぶんほとんどなくて、「カード」+「カード以外の何か」というイメージしかない。責任は全てカードにあるそうです。

    それでも、生体認証だと契約者以外の人間が引き下ろせなくなるので、年輩の方々は不平たらたらだし、契約者本人以外で、通帳などの解約もできないと、金融機関に怒りをぶつけるしまつ。「不便になった」「最近銀行がおかしい」「仕事をサボっている」とかなんとか。

    銀行やら何やらで、説明されてもたぶんほとんどの人は分からないと思うし、「それは銀行の仕事だろう!」「難しいことをいいやがって」「めんどくさくなった」くらいにしか思ってない。ここいらの安直なイメージを作り出したメディアとか、市民の意識の問題を改善しないと(セキュリティ問題に通じる)ダメなんだろうな─と。思う。
  • by Anonymous Coward on 2006年08月21日 22時16分 (#1001777)
    俺の暗証番号は普通だから試せないけど思考実験で結論が出る。

    仮定A: ID登録では類推されやすい暗証番号でも利用可
    → ログインで停止した意味無し
    仮定B: ID登録でも類推されやすい暗証番号は利用停止
    → ID登録できない

    バカスwwww
  • by Anonymous Coward on 2006年08月21日 22時49分 (#1001804)
    >第三者に類推されやすい暗証番号

    三時間もあれば類推できますが、遅いほうでしょうか?
    • 4桁の数値なんだから、限度がなきゃいつか破られますよね。
      p.s.お役所系ネット申請パスワードが8桁英数で,毎月変更で、6回間違えると郵送による初期化が必要なのですが、2回やっちゃいました。capsとか疑うと駄目ですね
       良くはないと思うが、きちんと控えるようになりました。
      親コメント
    • 第三者が3時間で「類推」できるのなら、十分に類推しやすいと言えると思いますよ。

      ちなみに、総当りなんかの手法は「類推」とは言わないと思いますよ。

      親コメント
      • by Anonymous Coward on 2006年08月22日 1時00分 (#1001891)
        某テレビ番組でも紹介?されていしたが、
        カードと一緒に盗んだ携帯電話の暗証番号を総当たりで調べて(そのための機器が売られている)、その暗証番号をカードの暗証番号と同じにしていると、そこからあっという間にカードが利用されてしまうとか。

        直接的な類推ではありませんが、いわば「携帯電話の暗証番号と同じであろう」という類推と、総当たりの掛け合わせすね。

        ってことで、携帯電話の暗証番号と、各種カードの暗証番号を同じにしている人、即、変更しましょう。
        親コメント
        • 携帯電話の暗証番号を9999に変更しました。

          #これで目眩ましになるのだろうか?
          --
          誤記 FireFox
          巫女 Firefox [mozdev.org]
          親コメント
        • by nina (15758) on 2006年08月22日 9時21分 (#1001978)
          >携帯電話の暗証番号を総当たりで調べて(そのための機器が売られている)、
          今のバージョンは知りませんが少し前の携快電話とかは
          パスワード総当たりでチェックする機能がありました
          5か6くらいだったかな?私が自分のDoCoMoの携帯電話で試した時は
          3~40分くらいでパスワード見つけた気がします

          他にも軽くぐぐってみるとフリー/シェアともにソフト何種類かあるようです

          オフトピ気味だけどIDで
          親コメント
    • 年齢や体重よりは4桁あるだけましだと思わないと…
      --
      誤記 FireFox
      巫女 Firefox [mozdev.org]
      親コメント
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...