フィッシング詐欺対策でログイン画面に新機能

2004年9月7日(火) 0時19分 by level
B ?

次に、ログイン時にキーワードによるログイン方法を追加する。これは、従来からのログインパスワードに加えて、ユーザーがあらかじめ全角10文字以内の “キーワード”を登録しておくことで利用できる。この新しい方法でログインしようとすると、ユーザーが支店番号、口座番号、ログインパスワードの最初の4 文字を入力した段階でキーワードが表示される。このキーワードが正しければ、イーバンクの正規のサイトであると確認できる仕組みだ。

ふむ、イーバンクの新機能、これはなかなかよさそうなアイデアですね。「ログインパスワードの最初の4 文字を入力した段階でキーワードが表示される」というところがみそで、フィッシングサイトで4文字を入力した時点でおかしいことに気がつくということですね。残りのパスワードが4文字程度あれば、総当り攻撃をしても、サイト側で連続したパスワードミスに対する処置を適切に行っておけば不正ログインを防げそうです。と思ったのですが、、、

しかし、いくつか懸念点があります。仮にあるユーザがフィッシングサイトでパスワードを入力しようとしてしまった状況を考えます。

パスワードを最初の4文字ではなく、一気にパスワード全体を入力してしまったら、、、全部入力してから「キーワード」が表示されなくて、おかしいと気づいてももう遅い。パスワードを分割入力する(二つ用意する)ような UI になっていないと意味がなくなりますね。イーバンクの説明によると、

支店番号と口座番号を入力後、ログインパスワードの最初の4桁を入力し、「確認」ボタンをクリックしてください。

とあり、ユーザ側でパスワードを4文字入力後に「キーワード」を確認するためのアクションが必要になっています。

また、パスワードの最初の4文字を入力した時点でおかしいと気が付い場合でも、フィッシングサイトには支店番号、口座番号それにパスワードの最初の4文字を知られてしまいます。そこで、フィッシングサイト側はこれらの情報を利用してユーザの正規の「キーワード」を知ることが出来ます。そしてもう一度同じユーザをフィッシングサイトに誘うことが出来れば、、、。いや、1回目のアクセス時に「サーバが混雑しています。しばらく時間をおいて再度アクセスしてください」などの表示を出しておいて、その隙に「キーワード」を盗んでくるなんてすぐに出来そうです。

ということで、実際はあまり意味無いんじゃないのという気がしてきました。

コメント (2)

1 9/07 02:41 naruse
(c1) [2004/09/07 02:41:25] by naruse

最初の4文字とかでなく、パスワードを8x2にした方がいいのではないかな、
とか思ってしまいました。(Gmailっておもしろいですね、改めてありがとうございました)

2 9/07 23:18 level
(c2) [2004/09/07 23:18:29] by level

結局、フィッシングサイトを信用してしまったらどうしようもないということのようです。
パスワードを長くしても意味はなさそう。

トラックバック (1)

トラックバックは検索対象外です。

この記事にリンクしているページ < >

  1. [56] http://www.fureai.or.jp/~peipei/blog/index.cgi/2004/