三井住友銀行ネットバンクの暗証が数字4桁になった件 | 栗原潔のIT弁理士日記

高木先生案件かもしれません。 ネットバンクでは基本的にトークン（ワンタイムパスワード生成機）を使うようにしています。トークンとは一定時間毎に暗号化による6桁のパスワードを表示する親指くらいの大きさのデバイスです。 ジャパンネット銀行ですと、ログイン時はパスワード（自分で決めた英数字最大8文字）でログイン可、振込みや限度額変更など重要な処理の場合にトークンが表示するワンタイムパスワードを入力という合理的な設計になっています。 一方、三井住友銀行（SMBCダイレクト）はログイン時はパスワード（自分で決めた英数字最大8文字）とトークンのワンタイムパスワードの両方が必要、そして、振込みや限度額変更など重要な処理の場合にはもうトークンは関係なくて、昔ながらの暗証カードが必要、という変てこな仕様になっていました。 これですと外出先から振込みがあったか確認したいなんて場合にトークンを持ち歩かなければなり

[michiki_jp]

“高木先生案件かもしれません。”　導入として、どんな案件か非常にわかりやすいｗ

[tamtam3]

設計者はみな優秀。セキュリティ等に理解ゼロの経営陣側に問題があり。ネットやＩＴ企業はともかく、一般企業ではＩＴ出身者がなかなか経営陣に食い込めないから、驚くほど無理解で酷い要求が上から降ってくる。

[theatrical]

設計した人間もどうしようもないほどバカだけど、これが承認されてシステムとして実装されていることが問題。つまり関係者全員が問題点に気づいていないか、気づいているのに問題が残ったままリリースされたという点

[Shingi]

書き出しがこれはいろいろと(わかりやすいという意味でも)インチキっぽい(笑) ←褒めてます ＞ “高木先生案件かもしれません。”

[naga_sawa]

三井住友銀行＆カードはなんかここらへんの対応が脆弱なんだよね/前もカード番号＋暗証でログインできていて高木先生案件になっていたような/いまどきなんでこんな設計なのかと/古いシステムに足を捕まれてる感

[oyasumi-zzz]

しかもここはWEB通帳とかいうのを推奨されてそれ選んでしまうと紙の通帳貰えないのだよな。4桁暗証じゃ怖いからOTP使ってるけどWEB通帳確認するのがめんどくさい。

[zakinco]

三井住友銀行かあ。最近口座閉じたが正解だったようだ。

[ROYGB]

振込みなんかには別のパスワードを使うにしろ不安になる仕様ではある。そういえば銀行のログインパスワードを登録して使う家計簿ソフトなんかも同様に不安。http://www.itmedia.co.jp/news/articles/1402/27/news088.html

[p260-2001fp]

『モバイル・電話と共通の第一暗証を使う』を選ぶと数字4桁、『インターネット専用の第一暗証を使う』だと英数字4～8桁じゃなかったかな？パスワードカードに変更すると変わるのか。

[nobodyplace]

設計してる人と決定権ある人が違うんじゃないのかな

[ot2sy39]

このエントリの追記2にあるように安全対策として数字4桁＋ワンタイムパスにした人は、MITB攻撃においてかえって脆弱になっているというひどい状態。

[YUKINOBU]

https://www.risec.aist.go.jp/files/events/2014/0313-ja/risec-sympo2014-takagi.pdf P20-P25 と関係する話かも？

[ardarim]

JALが問題起こしたまさにこのタイミングでセキュリティ退行とかひどい話だな。しかも銀行が。

[paravola]

（マウントゴ...）「あんまりこういうことは言いたくないですがこの設計をした人の顔が見たいです」

[genjin_87]

パスワードの桁数や利用可能記号とか、トークンの利用可否とか、銀行全体で統一して欲しい。複数銀行使ってると管理かなりメンドイ。。

[nadaredana]

コンピュータへの興味が薄い人がお偉いさんだったりすると、パスワード覚えられないとか認証がめんどくさいなんとかしろとか言われて困ることがよくあるが…

[raitu]

三井住友銀行で新パスワード生成器を使おうとすると、第一暗証の変更を求められ、今までは英数字最大8文字だったのが何と数字4桁強制、という事態の紹介記事

[Lycoris_i]

結構銀行のセキュリティって、いい加減なんだか用心しすぎなんだか微妙なところが多い気がする。

[hungchang]

追記「登録済みの振込先には暗証カードなしでいきなり振込みできてました」これはマズい。設定変更できるからとかいう問題じゃないだろ。

[paku7651]

若干訂正などが書き加えられているものの、根本的な仕様としては「だめだろこれ」に感じます。私も仕様設計者と承認をした人の顔を見たいし、小一時間お話を聞き出したいですな。

[mamuchi]

リバースブルートフォースアタック！！（初めて知った）

[nnnnnhisakun]

入力ステップを少なくしたいスマホユーザの要望対応かなぁと邪推したり

[yukimemi]

トークンとやらにまだ変えてなくてよかった…のか？

[abracadabra321]

徳丸さんが何か書くかな？

[unitro]

決定権者のセキュリティが甘かったのでは。

[frosts]

リバースブルートフォース かぁ。知らなかった。覚えとく。セキュリティは難しい。

[oyasai55]

やばいなぁ～これ…

[daichiman]

銀行のシステムってどこも大概だよな。スマートな銀行ができたらすぐ乗り換えるんだけど…

[else]

数字4桁のパスワードで、ユーザー数10万であれば、平均して10アカウントには不正アクセスできることになってしまいます。 パスワードを一定回数間違えるとアカウントを無効にするとか、パスワードの変更をお願いするな

[tanorityy]

後で読む

[m_shige1979]

金融機関のログインPWをキャッシュと同じにしたら危険。ただ、ネットバンクでは振込などのお金の操作には別のPWなどが複数必要な場合が多いと思うけど。

[doopylily55]

[]ヒーローの必殺技みたいだ

[kibitaki]

いや8桁維持しろよとは思うけどさ。「安全性が強い施策は俺の利便性が損なわれるからやだ」にはすっごいむず痒さを感じる。「身分証持ちたくないけど住民票くれよー誕生日言えるぞー」的な。

[outotsu]

三井住友銀行ネットバンクの暗証が数字4桁になった件 | 栗原潔のIT弁理士日記

[Harnoncourt]

トークン面倒くさすぎ。自分がJNB使わなくなった要因がこれ。

[suginoy]

"どこかのタイミングで英数字4文字から8文字の形式に変更できるようになりました。その機能拡張が今回の新パスワードカードの採用に伴って元に戻ってしまった"

[honeybe]

「高木先生案件」

[hiroki83]

リバースブルートフォースアタックなんてあるのね。こんなんやられたらひとたまりもない…

[quabbin]

確かに、こういう話は徳丸先生ではなく、高木先生案件ですわね。

[mmuuishikawa]

ありえねえええ