銀行口座のパスワードを顧客の許可なしに変更 90
ストーリー by hayakawa
ここまでするなら銀行側でパスワード払い出した方がよいのでは? 部門より
ここまでするなら銀行側でパスワード払い出した方がよいのでは? 部門より
あるAnonymous Coward 曰く、
BBCニュースに、銀行のパスワードを勝手に変えられてしまった顧客の話が載っている。本家/.でも取り上げられている。
英国のSteve Jetley氏は、旅行保険をめぐるロイズ銀行の対応に腹を立て、口座のパスワードを"Lloyds is pants"(ロイズは最低)」にしたところ、本人の知らないうちに行員によってパスワードが変更されてしまったとのこと。新しく設定されていたパスワードは、"No it's not"(そんなことはない)。銀行のコールセンターに問い合わせてこれを知ったJetley氏は、初めはなかなか笑えると思ったらしいが、改めて"Lloyds is pants"に戻そうとしたら「不適切」として認められなかったと立腹している。"pants"の代わりに"rubbish"(ゴミ)にしてみたが駄目で、ならばと思い"Barclays is better"(バークレー〈銀行〉の方がいい)にしようとしたが、それも認められなかった。さらに、「規則が変わったようで、(パスワードは)一単語でと言われたから"censorship"(検閲)にしようとしたが、気に入らなかったのか、今度は文字数は6文字以内と言われた」そうだ。
今回のパスワードは業務用口座の残高を確認するためのもので、複数人による使用が前提となっていた。ロイズ銀行によると、このケースの場合行員がパスワードを把握することが可能だそうだが、より複雑な取引を行う場合は当然セキュリティも厳しく管理されており、今回のようなことは起こり得ないとのことである。ちなみにJetley氏はまだ適切な(?)パスワードを考え中だそうだ。
パスワードは読取れてはいけない (スコア:5, すばらしい洞察)
パスワードって復号できない様にしておくものじゃないのかい?
内部犯行を防止する為にも可能なハードルはできるだけ置いておくものだろうに。
#暗号化したものが一致すれば良いので復号する必要は無い。
Re:パスワードは読取れてはいけない (スコア:5, 参考になる)
どうやら音声パスワードらしい。
オペレータが音声パスワードを聞いてそれを入力・検証するとか。
それとは別の認証も同時に行う必要があるらしい。
今回の事件の一番の問題は
勝手にパスワードを変えられてしまったことなんじゃないかと。
Re:パスワードは読取れてはいけない (スコア:2, おもしろおかしい)
> オペレータが音声パスワードを聞いてそれを入力・検証するとか。
「それって、普通は『合い言葉』と言うんじゃ、、、」
「おーっ、それ password [excite.co.jp] のことネ!」
Re:パスワードは読取れてはいけない (スコア:1)
>They staff has to be able to see it to verify it. It isn't a computer password.
このくだりですかね。それにしてもパスワードでの認証に第3者が必ず介在するってのはどうなんでしょ。
別のコメでもありましたが、銀行員が顧客の残高を閲覧するためにその顧客のパスワードを知る必要性はないし。
仕組みそのものもあまりセキュアでない印象。
Re:パスワードは読取れてはいけない (スコア:4, 興味深い)
>内部犯行を防止する為にも可能なハードルはできるだけ置いておくものだろうに。
もちろんその方法がベストなのですが、昔大手のWebサイトの会員管理のシステムにかかわったことがありますが、
パスワードはプレインテキストでしたよ。
まぁ世の中そんなもんです・・・。
Re:パスワードは読取れてはいけない (スコア:4, 興味深い)
平文を送ってこれるということは、まず間違いなくそのものをDBに格納しているわけで…。
# 逆(平文保存していても一方向ハッシュで保存しているように振舞わせることはできる)はわかりませんけど
うっうー
Re:パスワードは読取れてはいけない (スコア:3, 興味深い)
あるというより、パスワードの再設定を煩わしいと思う顧客も多いんですよ。サポートに「元に戻しておいてくれ」とかね。
Re:パスワードは読取れてはいけない (スコア:1)
残高照会はそもそもあまりセキュアじゃなくてもいいということでは?
よく考えると、銀行の窓口の中からなら行員が悪意をもてば入出金も残高照会
もできるわけで、たとえばそれが会社の業務用口座で、会社内の複数の人物に共通の
パスワードを教えてしまうならば銀行内部でセキュアにしてもあまり効果がない。
19世紀から続くロイズ銀行が昔から伝統的に合言葉で電話ごしや窓口でも残高照会に
応じていたならばサービスを落としてセキュアにするのはメリットが少ない。
Re:パスワードは読取れてはいけない (スコア:1, 興味深い)
ただ、設計・開発・運用保守の包括的な視野が無いと形骸化しちゃったり。
・ハッシュ値の計算方法を知っている内部攻撃者
・パスワードは必ず数字4桁と決まっている
・誰でも全てのデータをエクスポート出来る
という条件だと、ハードルらしいハードルにならなかったりする。
(さすがに極端な事例だろうけど)
だから
・開発情報を知る人間と、本番データを知る人間を分ける
・運用者自体の認証、権限切り分け、引き出し範囲の制限
・事故時のトレーサビリティ、ログの保全
・上記を最初から考慮した設計がなされている
単に「セキュリティを高める」「ハードルならなんでも置け」ではなく、
「具体的リスクを減らす」場合によっては「リスクを受容する」という、
コストや利便性との折り合いをつける視点が必要だよね。
ログインパスワード6文字以内 (スコア:2, すばらしい洞察)
最近多いよね。
パスワードは8文字以上にしてくださいとか8文字以内にしてくださいとか、
数字と英字を両方使ってくださいとかなんだとか・・・
それぞれ全く別のパスなんて覚えきれんから、
重要度に分けて数パターンのパスワードを使いわけてるんだが、
たいして重要でもないサービスに英数混合8文字以上とか言われたらイラっとくる。
ジャパンネット銀行なんて、ログインパスワードに8文字以下・英数とかややこしい制限付けやがって
複雑なパスを作らせやがったくせに、
携帯でログインしようとしたらログインパスがキャッシュカードの4桁暗証番号って、
じゃぁパソコンでのログインもそれでいいわ!と思った。
#JNBisPantsに変更してやろうか。
##だめだ英数混合じゃないし8文字オーバーだorz
Re:ログインパスワード6文字以内 (スコア:3, 興味深い)
Re:ログインパスワード6文字以内 (スコア:3, 興味深い)
- Web上のパスワード変更画面で,パスワードに空白を入れて(例:"foo bar")設定する.
- 認証画面で,設定したパスワード("foo bar")を入力すると認証が失敗する.
- 「CGIでは空白が'+'に変換される」ことを思いだす.
- 試しに空白を'+'に置換えたパスワード("foo+bar")を入力すると...認証が成功する.
Re:ログインパスワード6文字以内 (スコア:2, おもしろおかしい)
Re:ログインパスワード6文字以内 (スコア:1)
というのが、人間と機械(コンピュータ)の双方に都合の良い妥協案だと思うの
ですが、お客様の理解を得られないのでしょうね。
Re:ログインパスワード6文字以内 (スコア:1)
#確かアップグレードできないところにひとつ残ってたと思うけどID
Re:ログインパスワード6文字以内 (スコア:2, 参考になる)
最近はMD5を使ってる(文字数制限無し)場合がほとんどでしょうけど
パスワードの暗号化にDESを使う、昔ながらの方法の場合は「先頭8文字のみ評価」です。
今でも互換性のために、パスワードの記録にDESは使えます。
(昔のパスワードファイルのエントリをそのままコピーしてくるとかが可能)
でもって、パスワードファイルのエントリがDESな場合は、パスワードを変えてもやっぱりDESのまま。
というわけで、私は今でも先頭8文字のみ評価されるのを承知の上で8文字超のパスワードを使ってたりします。
Re: (スコア:0)
Re:ログインパスワード6文字以内 (スコア:1)
>じゃぁパソコンでのログインもそれでいいわ!と思った。
こういうこと [security-next.com]があるから、バンキングシステムとしてキャッシュカード暗証番号の流用は推奨されないね。
例えまったくランダムな暗証番号であったとしても、3回ミスでロックとしても2500口座も試行すれば半分以上の確率で1口座ヒットする。[(0.9999^3)^2500=0.472…]
Re:ログインパスワード6文字以内 (スコア:1)
>じゃぁパソコンでのログインもそれでいいわ!と思った。
ってのは、別に
>バンキングシステムとしてキャッシュカード暗証番号の流用
を推奨しているわけではなくて、せっかく複雑な(*)ログインパスワードを設定してるのに、
携帯からのログインにはキャッシュカードの暗証番号を使うなんていう意味不明な運用に対して
なかば投げ遣りな感想を述べたまでです。
この複雑なログインパスワードの設定は、ログイン作業を煩雑にする以外の何の効果があるのか分からない。
(*)JNBのネットバンキングログインパスワードは、件のロイズのパスのように照会するためだけのパスであって、
振り込みやユーザ情報変更などの手続きには、別途ワンタイムパスワードが必要になります。
なので、誘拐されるほどの資産も持ってない私としては、こんなものに複雑なパスを必要と感じません。
だからユーザのセキュリティポリシーに従って好きに設定出来るようにしてくれたらいいのになぁと思います。
最悪キャッシュカードの暗証番号と同一でなければ本当に何でもいいんじゃないでしょうか。
Re:ログインパスワード6文字以内 (スコア:1)
パスワードの再発行をランダム文字列にしていたらDoCoMoユーザからクレームが来たので、
数字のみのパスにした経験があります。
最近聞かないですね。
私自身はJ-PHONEからのSoftbankユーザでシャープの機種しか使ったことがありませんが、
昔から英数記号が使えていたと記憶しています。
ただし、入力中の文字はアスタリスクにならないという悲しい仕様。
次の文字を入力し始めると前の文字がアスタリスクになる。
JNBとは別で使っている某地方銀行のネットバンクは、
携帯でログインするときのパスワード入力欄は、
<input type="text">です。
これもそのDoCoMo対策なんでしょうねきっと。
しかし、
>携帯電話自体にも原因があったので一概に責められないなー
とのことですが、今責めているのは
「キャッシュカードの暗証番号を流用したこと」と
「PC用ログインパスワードを無理やり複雑に設定させていること」です。
この二つを総合的に判断すると、ログインパスワードは
「キャッシュカードの暗証番号とは別の4桁以上の数字」
という縛りだけで、携帯でもそれを使えるようにすれば、
現状の「携帯でのログインはキャッシュカードの暗証番号」
よりはセキュアになるんじゃないでしょうか。
つまりJNBの運用は吟味が足りないと。
#「英数混合で」って言いたかっただけとちゃうんかと。
Re:ログインパスワード6文字以内 (スコア:1)
勤務先の社内システムは次のような制限がついています。
・パスワードは6文字以上
・パスワードは8文字以下
・数字を2文字以上含むこと
・パスワードは3か月に一度変更すること(勝手に有効期限が切れます)
・3回連続して間違えるとアカウントはロックされます。
この制限内で、覚えておけるパスワードを考えるのは至難の業。
結局、ポストイット便りな人多数 orz。
Re:ログインパスワード6文字以内 (スコア:2, 興味深い)
結局「パスワードのヒント」にパスワード丸書き(微妙に変えてあるけど)で対処になってます
危ない (スコア:2, おもしろおかしい)
なんてことだ (スコア:1)
最悪でも、普通は登録前に弾くもんだろ……
Re: (スコア:0)
やり取りすべてにロイドに問題があるよな
ちょっと驚いた
ロイズだめじゃね? (スコア:1)
・あまつさえ勝手に変えることができる
・パスワードに関する規則を勝手に変えてしかもそれを顧客に通知しない
・そしてパスワードの規則が弱い
はやくロイズを解約してバークレーに口座を移した方がいいと思うに十票。
名前からすると、ロイズ保険と関係ありそうな気もするけどないんかな。
Wikipdia [wikipedia.org]見ると、おおよそのあらましは分かるけど。
Re:ロイズだめじゃね? (スコア:4, 興味深い)
ができないという事実
私は今月、三井住友銀行で口座番号のみから、残高を聞き出すことに成功しました。
キャッシュコーナーの備え付けの受話器をとって、担当者と通話したところ口座番号
と氏名のみを聞かれ、その日の夜に引き落とされる予定だったクレジットカードの
引き落とし予定額、引き落とし予定時刻、現在の残高を教えてくれました。
同じことを、サービスセンターに電話してきいたところ、電子取引のパスワードを
プッシュホンで入力するようにいわれ、生年月日と住所、氏名を確認されました。
このような対応マニュアルが徹底されているのは、ATM専用銀行、電子取引専用銀行、
電子取引担当者等に限られているようです。日本の銀行だからといって、システムの
仕様はオープンじゃないんだから期待しすぎてはいけない。
Re:ロイズだめじゃね? (スコア:1)
生年月日や住所、氏名は普通、口座番号よりもオープンだから、その気になれば入手は容易。
対して、ATMなら「顔の映像」という「誰か」の直接情報がわかる分マシ。
恥ずかしながら (スコア:1, 興味深い)
暗号化するなどして人には見えないようになっているもんだと思い込んでた。
今後もロイズ銀行とやらは絶対に利用しないと思いますが、パスワードは担当者に見られてしまうものなんだと肝に銘じなければ。
パスワード手帳(手書き)を作って、サービスごとに別のパスワードにするとか。
Re: (スコア:0)
Re:恥ずかしながら (スコア:1)
ま、実際そこまでやっているかどうかは疑問だけどね。
Re:恥ずかしながら (スコア:3, 興味深い)
まず申込書をスキャンして画像としてサーバに保持し、
サーバ側で個々の項目について画像を切り出してクライアントに提示し、
それを入力させる、なんてことをしてるとこもあるみたいですね。
複数のデータ入力者に分散して入力させるので、データ入力者側で紐付けできない。
そういうのをやってるところがどれだけあるのかわかりませんけど。
頭文字にすれば (スコア:1)
>複数人による使用が前提となっていた
ってことなんで、仲間とは「 Lloyds is pants って覚えたら良いよ」って話せば実際変わらないし。(3文字のパスワードはさすがに短いけど、、)
日本でも変えられます (スコア:1, 興味深い)
教えていない携帯電話の下四桁をどうやって知りえたのか問い詰めたい。
クレカの申し込みのあとに「不適切な暗証番号なので****に変えました」のハガキが来ましたが、IC付クレカでこれやられると現状最低な状況でして………たいていのカード会社はカードの有償再発行でしか変えられません。営業所に行けば変えられるところが数社。
このケースの場合は、当時UCがまだ営業所があったため無償で書き換える事ができましたが、その後UCはセゾンに買収され、営業所を全部潰されたので現在は有償交換のみのはず。
オマケに暗証番号取引は暗証番号管理義務を会員に課している関係で、補償の対象から外れます。買物で暗証番号を見られる、スキミングされるなどでバレたとしても、磁気カード時代のように簡単に変更できず、会員としては不利です。
Re:日本でも変えられます (スコア:2, 興味深い)
試しに問い詰めてみればよかったのに。個人情報の入手経路は、本人からの要求があれば開示しなければならない、とされているので。
Re:日本でも変えられます (スコア:1)
しかし、最初は電話番号の下4桁より不適切な番号をつけたために変えられたというのに、
補償だのスキミングだというのは自分のことを棚に上げすぎです。
ところで、無償で対応するからこそカード会社側で暗証番号の変更を行ったという可能性は?
Re:日本でも変えられます (スコア:1)
暗証番号なんてなくても使えるんだし、、、、、、、、、、
Re:日本でも変えられます (スコア:1)
もう一つ条件としてその前にちゃんと通知するのが前提ですね。
いきなり止まって入金できずに不渡り、なんてなったらどうするんだろ。
AVG anti-virus data base out of date
でも、限度ってものがあるよね? (スコア:1)
で、半年後、顧客からの苦情が多いという理由で廃棄されました。
# NGワードのデータベース作成が非常に面倒でした。
# 英単語以外に、日本語の単語や人名、よく使われる文字列(root,qwert,asdfなど)、てんこもりでした。
# で、パフォーマンスが悪いと言われ[以下略]
# あげく、結果が上記の通りですから、やってられませんわ。
notice : I ignore an anonymous contribution.
Re:日本でも変えられます (スコア:1)
パスワードが、更に少なくなっちゃうよね。
その辺は問題にされないのだろうか。
ルイズたんのパンツ (スコア:1, すばらしい洞察)
ゴルァ (スコア:1, 興味深い)
ノシ
Re:ルイズたんのパンツ (スコア:1)
「寝てる間に(はいてないから)簡単に入手される」
という致命的なセキュリティホールが
#誰がリアルぱんつを盗めといった
現状は… (スコア:1)
パスワードで会話すんなw (スコア:0)
悪魔ちゃん (スコア:0)
Re:で? (スコア:3, すばらしい洞察)
#全力で釣られてこそ漢
云いたいことは (スコア:1, おもしろおかしい)
「ぱんつ」と云いたいに決まってるじゃないですか!
Re:云いたいことは (スコア:2, すばらしい洞察)
Re:で? (スコア:1, すばらしい洞察)
金鉱みたいなもんだよ。
普通の(見る目を持ってない/興味を持ってない)人から見たら、
ただの石ころでしかないけど、そのうち0コンマ何パーセントか
金が含まれてて、ちゃんとほじくり出す技術を持ってる人には
宝の山になるのさ。