安易に手を広げるドコモ+意識の低い銀行 → 不正にGoの話 (参考)
「自分の銀行はOTPを使っているから安心だ」と思ってしまったが、良く考えれば、仮に自分の銀行がそのドコモ口座なるものに対応していたとして、その実装では手を抜いてしまって暗証番号で認証しているかも知れないのが怖い。これだけでなく、他にも似たようなサービスがありそうではないか。そのベースが問題の「Web口振受付サービス」なるものなのか。
ネットで暗証番号で認証するのは論外なのだが、世の中にはその論外をする銀行があり、未来永劫、自分の銀行がそうならない保証はない。
ちなみに、昔書いたのだが、某有名お金集計サービス(M*だったか)は対象にする金融機関の登録をwebでする時に、僕の銀行では暗証番号を入れるようになっていて、上記のように論外で、その会社を信用するのが不安になったので使うのを止めた。
今後も似たようなサービスが出て来た時に、自分の銀行のセキュリティ意識の低い担当者が安易に利用可にしてしまっていないかを常にチェックするってのは、二重の意味で至難の業だ。使いもしないサービスの開始を知って、そのセキュリティをチェックすることなんて無理だ。実際、ザルなドコモ口座もWeb口振も初めて知った。
こればっかりは、自分の銀行がヘマをしないことを信じるとか念じるしかないのか?w
今はまったく気が抜けないな。
PS. それにしても、イオンとかゆうちょとかの大きい銀行ですらセキュリティ意識が低過ぎたとは、本当に日本は遅れているなあ・・・
PS2. あと、銀行の口座番号はやたらに人に教えない方がいいというのは正しかった。「それ、本当?」と思って居たが、かなりリスクがありそうだ。だから、オークションなどでは銀行振り込みで支払ってもらうのは止めた方が良さそうだ。住所も名前も伝わるから なかなか危険だ。今は匿名サービスがあるらしいから、それならいいのだろうが。
あと、変なところから「当選」とか「キャッシュバック」とか言ってお金をもらうのも危なそうだ。まあ、それ以前に危険かwww
PS3. 暗証番号は高々1万通りなので、例えば10万件の口座情報があるとして、逆ブルートフォースアタックなるものをすれば、なかなかの効率確率(確率の計算は分からないが、1回通せば最大10件が当たる計算だ)で当たるのではないか。元々簡単な番号にする人も多そうだから、そういう順に試せばもっと上がる。
それに、このお粗末な なんとか口座は、メールアドレスさえ変えれば一人で何個でも作れるようなので、無限に試せるではないか! 恐ろしい!!
だから暗証番号なんて止めた方がいいと思うが、これでも止めないんだろうなぁ・・・ (9/10 7:55)
コメントを書く / Write a comment