みずほダイレクト、ログインパスワードを最大32桁に 78
ストーリー by kazekiri
長けりゃいいとは 部門より
長けりゃいいとは 部門より
KAMUI曰く、"みずほ銀行のネットバンキング・みずほダイレクトがセキュリティ対策の一環としてログインパスワード桁数の拡大などを行う事を発表した(参考:みずほダイレクトのセキュリティ対策)。1月22日以降,現在は英数6桁のパスワードを最大32桁までネット上で登録出来る様になる。また,旧第一勧業銀行・旧日本興業銀行の店舗顧客が使用している4桁パスワードについては 6〜32桁に(事実上強制的に)変更となる。
更に、従来は店頭か電話でしか受け付けていなかった「登録振込先以外への 1日あたりの振込限度額の引き下げ」もネット上で出来る様になる。「限度額の引き上げ」は店頭・もしくは郵送のみで変更はない。"
あるAnonymous Coward曰く、 "この最大長32桁のパスワードはどこまで有効なのだろうか? 長くなることでキーの入力操作を見て覚えるのは難しくなるかもしれないが、 キーロガーに対してはまったく無力である。また、 パスワードは英数を交えての乱数字が理想とされるが、自分は 32文字の乱数字を記憶する自信は無い。パスワードに短文を用いたり、 紙に書き留めたりする事でセキュリティが低下するおそれは無いだろうか? ここに集う皆様の意見を聞きたい。"
いいわけ (スコア:5, すばらしい洞察)
こういうのは、いざ不正利用が発生した際に「当社はパスワードを長く複雑なものにできるようにしておいたのに、利用者はそうしなかった」という言い訳の準備でしかない。
Re:いいわけ (スコア:3, すばらしい洞察)
そうですね、数字のみは×くらいはしておかないと
自分の生年月日を延々とor自分の生年月日+家族の生年月日を
パスワードに指定する人が多く出そうな予感…。
かといって英語のみならOKかとなると
単語の羅列などで、また考えねばいけませんし。
まぁ、単語1つじゃないならいいのかな。
しかし、入力が大変そうですね。
何がって、あの画面にローマ字を表示させるのが。
数字のパネルと同じ大きさになると考えると
画面切替しないと入らないような…
//英数字までランダム配置になったら入力がとてもダルそうだ
Re:いいわけ (スコア:4, 参考になる)
56wz [vector.co.jp]
ためしに「オレハジャイアンガキダイショウ」と入れたら
o08j1angkd14uとなりました
Re:いいわけ (スコア:1, すばらしい洞察)
>何がって、あの画面にローマ字を表示させるのが。
?
ネットバンクの話なんですが、そんなに解像度の悪いPCをお使いですか?
>//英数字までランダム配置になったら入力がとてもダルそうだ
いったいどんなキーボードを(ry
Re:いいわけ (スコア:2, すばらしい洞察)
ログイン画面を見たことがないのでわかりませんが、
ユーザーが実際使用するパスワードが仮に6桁だろうが10桁だろうが、
「最大32桁で、ユーザーが何桁使ってるのか不明」というのは
「最大8桁で、ユーザーが何桁使ってるのか不明」、とは
まったく異なるものと思いますよ。
Re:いいわけ (スコア:1)
「意味がない」「言い訳の準備」と言う発想は微妙な気がする。
逆に、長くするとメモとして書きとめ、結果、「安全度が低下する」と言う考えもある。
利用者は沢山いて、使い方は線差万別。
6文字だから暗記して使う。不正アクセス後は一定時間ログイン禁止(ロックし本人も締め出し)。
32文字でメモる。不正アクセスしてきたIPアドレスに対してだけ一定時間ログイン禁止。本人はロックされずアクセス可能。
と別けて処理することも出来るのでは?
パスワードを書き留めよう (スコア:3, 興味深い)
Re:パスワードを書き留めよう (スコア:3, 興味深い)
既に指摘されているけれど (スコア:3, すばらしい洞察)
仮に長い桁数の利用を強制できたとしても、そのパスワード自体が漏洩しては意味がありません。複雑で長く「強い」パスワードは、同時に覚えにくいため紙などに書き留められる危険性も高いのが実情です。あるいは、覚えやすいもの(名前をローマ字にして誕生日くっつけたりとか)になるなど……それでセキュリティが向上したとは言いがたいものがあるように思えます
#英数6桁は論外だとしても
こちらのコメント [srad.jp]にあるとおり、ワンタイムパスワードにする、あるいは成りすましが難しい手段で本人確認を行うなどオプションを用意して、「面倒という人には容易(だけどセキュリティ的には危険)な方法」「セキュアだけど面倒な方法」など用意して、あとは利用者に委ねるしかないように思えます
#仮にワンタイムパスワードにしたところで、口座情報とトークンを一緒に、誰でも盗めるような場所に置かれたらやっぱり意味が無いし
Foot to the Home
変なもの部 [slashdot.jp]
Re:既に指摘されているけれど (スコア:1)
それに6桁から32桁のパスワードというのは正に
>「面倒という人には容易(だけどセキュリティ的には危険)な方法」「セキュアだけど面倒な方法」など用意して、あとは利用者に委ねる
なのではないでしょうか。
Re:既に指摘されているけれど (スコア:1)
桁を長くしたところで、盗聴、キーロガーの脅威に対する強度は変わりません。現実に問題になっている脅威が上述二項である以上、桁を長くすることが解決策にならない所以です。
Foot to the Home
変なもの部 [slashdot.jp]
私のパスワード生成ルールツリー (スコア:3, 参考になる)
- 文節1文字目の[子音|母音]を抜き出して並べる。
- 可能なら数字に置き換える(例えば「く」なら「9」)。
- 適当な場所(例えば歌の小節の先頭とか)は大文字にする。
で、実際にキーボードで打ってみて左右の手への分散度とかシフトの押し方とかタイプのタイミングとか考慮して調整する。
使用頻度が低い(しっかり憶える必要がない)場合は、
適当なバイナリファイルをbase64エンコードして
その結果から適当な部分を抜き出す。
# この場合使用文字種が少なくなるのでお好みで記号を混ぜてみるとか。
で、生成したパスワードはテキストファイルに書き込んでgpgで暗号化して保存。
Re:私のパスワード生成ルールツリー (スコア:2, おもしろおかしい)
しばらくしたあと全く思い出せなくなるRさんがブリリアントに光☆臨!
Re:私のパスワード生成ルールツリー (スコア:1, おもしろおかしい)
Re:私のパスワード生成ルールツリー (スコア:1, おもしろおかしい)
これにより誕生日を忘れて喧嘩してしまうのを防げるという、なにものにも勝る効果があります。
Re:私のパスワード生成ルールツリー (スコア:1, おもしろおかしい)
「あーごめん忘れてた」のほうがマシ。
Re:私のパスワード生成ルールツリー (スコア:2, おもしろおかしい)
名前も合わせるようにすると、睡眠時の情報漏洩によるトラブルにも対応できます。
#実際に偶然名前が一致してたおかげで九死に一生を得たことがあるけどID
Re:私のパスワード生成ルールツリー (スコア:2, 興味深い)
「(離婚した)前の奥さんの名前」とか「好きな体位」とか、色々好きに書かれてしまい、ヘルプデスクの連中から「電話で、お客様に、こんな質問出来ないです」と泣き付かれたことがありました。
私のパスワード保護ルールツリー (スコア:1, おもしろおかしい)
Re:私のパスワード保護ルールツリー (スコア:2, すばらしい洞察)
あるいは種が取り得る値が十分な空間を持っていれば、
鍵生成アルゴリズムは秘密である必要はないと思ってます。
だから、いいパスワード生成ルールはみんなで共有しあいましょうよー。
Re:私のパスワード保護ルールツリー (スコア:1)
下手に公開すると辞書アタックする側に活用されてしまいますよ?
だから、覚えやすくて破られにくいパスワードを決めるルールってのは誰にも話さないのが基本です。
Re:私のパスワード保護ルールツリー (スコア:1)
それでいて、みなさんのコメントは読ませていただいちゃってずるいですが。
Re:私のパスワード生成ルールツリー (スコア:1)
やっぱり食べたい吉野家の牛丼、狂牛病なんか怖くないぞ
(どうでも良い台詞だが自分的に憶えやすい言葉)
↓
YPTTYYNGDKGNKKNZ
(適当に頭文字を抜き出す)
↓
yPttYynGdkgNkkNz
(大文字小文字に不規則に割り振る)
↓
yPtt!YynG8dkgNkkN0z
(数字と記号を適当に混入して完成)
つーかんじはどうでしょうか?普段使いで思い出すためのメモは「吉野家狂牛丼」とかにする。一見憶えにくそうですが、最初のフレーズを頭の中で唱えながら20回くらい練習すると手が憶えてくれます。
忘れた場合に備えて、生成したパスワードを格納したファイルは暗号化して保存するなり、財布にしまうなりはご随意に。
#たまに会社で古いPCを引っ張り出してきてログインするときに
#5~6世代前くらいのパスワードはすっかり手が忘れてしまっていて
#苦労したりしますが(--;
Re:私のパスワード生成ルールツリー (スコア:1)
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:私のパスワード生成ルールツリー (スコア:1)
晶膝から偽連環転身脚
66K+G-G66P+KPPK
みたいな。
使用キャラが変わると思い出せなくなります。
# SlashDot Light [takeash.net] やってます。
Re:私のパスワード生成ルールツリー (スコア:2, おもしろおかしい)
> じゃ、gpgで暗号化するときのパスフレーズは、どうやって生成してますか?
そりゃあやっぱり、同じルールで生成して、gpgで暗号化したファイルに保存でしょう。
そうだ、あの銀行にしよう (スコア:3, おもしろおかしい)
#暗証番号をよく間違えて引き下ろせないのでAC
Re:そうだ、あの銀行にしよう (スコア:1, すばらしい洞察)
ワンタイムパスワードなので、前使われた番号が無効なのですよ。
Re:そうだ、あの銀行にしよう (スコア:1)
短いパスワードを憶えるよりは (スコア:1, 興味深い)
Re:短いパスワードを憶えるよりは (スコア:1)
キーロガー対策 (スコア:1)
じゃぁどうすりゃいいのって話ですが、
1.JavaScript等でバーチャルキーボードみたく入力させる
→JavaScriptは・・・と責められる
2.キーボード以外の入力デバイス・・・マウスを使って絵を描かせたりしてログイン認証?
→認証が難しそう
3.指紋認証などのデバイスを配布して認証させる
→無償配布は難しそう
辺りになるのでしょうか。
何か良い方向性は無いものですかねぇ。
4.そもそも使わない
って方向もありそうですが。
Re:キーロガー対策 (スコア:2, すばらしい洞察)
Re:キーロガー対策 (スコア:0)
Re:キーロガー対策 (スコア:2, おもしろおかしい)
これ最強。
でも、警察が飛んでくるかもしれない諸刃の剣。
素人にはお勧めできない。
Re:キーロガー対策 (スコア:2, おもしろおかしい)
どんなに銀行のセキュリティーが破られても、銀行に自分の残高が無ければ、被害は無い。
でも、本人が強盗とかにやられるかもしれない諸刃の剣。
万人にはお勧めできない。
/* Kachou Utumi
I'm Not Rich... */
Re:キーロガー対策 (スコア:1, おもしろおかしい)
宵越しの金は持たない。
Re:キーロガー対策 (スコア:1)
思うようにリターンが得られなくても自己責任で。
Re:キーロガー対策 (スコア:1)
よって、「教唆罪存在しません」、ということはありません。詳しくは刑法第十一章 [e-gov.go.jp]あたりを見てください。罰せられない場合はあっても罪にならないというわけではありません。
まあ、そんなことするとは思っていませんが、罪にならないと思って犯罪の教唆をするなんてことがないようにしてくださいね。
Re:キーロガー対策 (スコア:1, すばらしい洞察)
Re:キーロガー対策 (スコア:1)
意地張らずに FeliCa 認証とかつかっちゃえばいいのにと思います。
Re:キーロガー対策 (スコア:1)
根本的な問題解決になってはいないけど.
Re:キーロガー対策 (スコア:1, 参考になる)
元々みずほダイレクトのログインパスワード入力は、 javascriptのソフトキーボードを使えるようになってます。
Re:一連の銀行の動きは (スコア:1)
日本語パスワードはAtokさんとかMS-IMEが覚えちゃうから危険
ってとこでしょう
Re:一連の銀行の動きは (スコア:1)
PCがパスワードを覚えちゃうことについては、少なくともInternet Explorerの
製造元では問題だと考えていないようですよ :P
名物に旨いものなし!
ブルートフォースには有効 (スコア:1)
まぁ普通使わないですが。
Re:ブルートフォースには有効 (スコア:2, すばらしい洞察)
それにかかる引き出し手数料が、入手できた金額を上回ることがほとんどなのが欠点ですね。
一人くらいはいそうな (スコア:1)
あ、32文字こえちまったぃ。
----------------------------------------
You can't always get what you want...
長いパスワード (スコア:1)
って、昔言われたことがあった。
銀行で数字4桁の暗証番号を作る時、「0000」とか「自分の誕生日」とか「電話番号の下4ケタ」とか指定すると、作って貰えないと思うけど、
たとえばこれで、自分の名前を入れたり、電話番号を入れたりしても、弾かれちゃうようにできてるのかな?
Re:数値だけ許可なサイト (スコア:1)
8桁:10241024
10桁:3276832768