2014年7月16日水曜日

三井住友銀行のセキュリティ向上

今更ではありますが、三井住友銀行のネットバンキングで利用するワンタイムパスワードのカードを取得しました。

ネットバンキングで振込などの大事な取引をする際、通常利用のパスワードに加え第2パスワードなるものの入力が必要です。この第2パスワードは誰かにバレるといけないため、固定の文字列ではなく、利用者にあらかじめ配布されているカードに書かれた乱数表のようなものから、都度指定の位置にある数字を入力するような形式になっています。例えば「左から2列目、上から3番目を入力してください」とか。三菱東京UFJもみずほもだいたい似たような形式です。もちろん入力するパスワードは4桁以上です。

この形式だと第2パスワードを毎回違った数字にできるため、ネットをハッキングされたとしても被害は抑えられます。ただし乱数表がのったカード自体をうばわれてしまうとアウトです。カードには利用者IDが印刷されているので、それと組み合わせられるとセキュリティを破られる危険性はかなり高くなります。

そこでワンタイムパスワードが登場です。

あらかじめ印刷された乱数表を使うのではなく、毎回その場で乱数パスワードを生成してくれる仕組み。専用の小さなカードがそれを表示してくれます。



このカードで生成される乱数パスワードは、その所有者専用のものですので、他人が流用することはできません。なくしても悪用されるリスクは極めて少ないです。

同様の仕組みはGoogleやFacebookでも


同じように都度乱数パスワードを生成する仕組みはGoogleやFacebookの2段階認証でも使われています。

GoogleやFacebookだとスマートフォン上で数値を生成するアプリを提供してくれているので、その点が大変便利です。

その他、セキュリティが重要とされる場面においてワンタイムパスワードは多々使われています。

他のメガバンクも早くこういうの導入すればいいのにと思います。特にみずほは第2パスワードが全部で6桁しかなかったり、ネットのログイン画面のパスワードをキャッシュ可能だったりといろいろ脆弱な部分が目立つので対策が急がれるところです。たぶん。対策してるのかは知りませんが。

昨今ネットのセキュリティはかなり深刻な危機にさらされています。LINEの一件でもあきらかになったように通常使っているパスワードの使い回しはもはやご法度です。皆さん気をつけましょう。ではまた。


0 件のコメント :

コメントを投稿