銀行とかの偽装による詐欺を防ぐために、「オンラインバンキングの正しい画面把握で不正送金防止を」とか間抜けなことが言われているが、それは無理だ。画面は時間が経てば変わるし、そもそも、偽物が本物そっくりに出来ているから騙されるのだ。

そこで、偽サイトによる詐欺を防ぐ方法として、ユーザーが銀行などのサイトを認証することを考えた。以下のような手順で、サイトを認証する。

  1. 最初に(入会時など)、ユーザーが認証用の式(例: MD5)をサイトに登録する。
  2. ユーザーがログインする前に、ユーザーは、ユーザーIDと認証用のデータ(例: 任意の文字列や現在時刻や乱数)をサイトに送信する。
  3. サイトは、そのユーザーがあらかじめ登録した式で、送信されたデータを変換して、送り返す。
  4. ユーザーは、サイトから返されたデータが正しいか(手元の式で変換して得た値と同じか)をチェックする。
  5. 2つの値が同じでなければ、それは偽のサイトだ。

手で実行するのは難しいので、PCやスマフォのアプリで処理を自動化すれば良い。どこかやらないかな。

  •   0
  •   0

5件のコメント

  1. JS:

    ステップ1が偽サイトだったら、どうするんですか?

    •   0
    •   0
  2. PiuLento:

    ●はい、そこが問題なので、とりあえずオフラインでやるとかですかねえ。

    •   0
    •   0
  3. PiuLento:

    ●紙ベースですと、式は、好きな絵や文字を描くとかでもいいかと思います。それを銀行で式に変換して、アプリと一緒にUSBに入れて送って来るとかはどうでしょう。

    •   0
    •   0
  4. JS:

    絵から式への変換と、USBという物理的メディアの配送に新規性があると思いますが、悪意のある配達員の存在が排除できないところに脆弱性があると思います。

    現在のSSL/TLSの仕組みで十分でしょうかね。

    •   0
    •   0
  5. PiuLento:

    ●確かに、悪意のある配達員には負けますね。

    僕も現在のSSL/TLSで充分(PCだとブラウザのアドレスバーなどに正当性が表示されますので)と思ったのですが、それでも騙される人が居るので、どうにかならないかと思いました。

    しかも、セキュリティの偉い機関でさえ「正しい画面把握」などとたわけたことを言っていますので、何らかの対策は必要そうです。

    •   0
    •   0

コメントを書く

名前    

メール 

URL