« 検索キーワード2005 | トップページ | 東証システムとガソリンスタンド裏の原子炉 »

2006.01.25

みずほダイレクトの縮退なセキュリティ対策

みずほネットバンクは、セキュリティが上がるどころか逆に危うくなってる気がする…。

リンク: みずほ銀行:みずほダイレクトのセキュリティ対策.

ちょっと前に「ログイン暗証番号を32桁にまで拡大。セキュリティが強化されます。ご安心ください」というアナウンスがあったのですが、
私はネット世論の「長くなるほど付箋紙で書いて貼るようになるさ」「実際に起きた&成功した犯罪ではキーロガー。桁の抵抗は無意味だ」
に同意していたクチでしたが、
ついに今週からそれが実施実行されました。
で、私は変更無しで使うつもりで、今日25日にログインしようとしたら「パスワードが違います」でログインできない??
よく思い出してもやはり間違ってはいない。でもエラーになる。
これは問い合わせるしかないな…と思ったら、32桁のアナウンスが赤字でやたらサイトで掲示されてる。
それで読んでみたらなんと
「今回のシステム変更により、暗証4桁だった人は6桁以上に強制変更するダイアログ出ます」
…まあこれはヨシとしましょう。しかし、
「既に7桁以上で運用していた人は…先頭6字だけ有効となりました」「ログイン時は6桁だけ入れてください。それ以上入れると不一致エラーになります」
…って、なんじゃあそりゃあ??(-_-;

どうも、みずほバンクは「7桁以上のパスワードを受け入れていたが、実は先頭6字だけ有効だった」「7桁以降は意味が無かった」→それが今回の改修で「先頭32桁まで有効になった」「既にある暗証パスは有効6桁が実体だったので、6字ポッキリのパスワードとなった」→「だから7桁以上の従来ふうに入力すると、全桁でマッチングするので文字列不一致でエラー」
この変更で、既に会員な大勢の人のパスワードは一律6桁に縮退されてしまったのでした。
私のように既に7桁以上なパスだった人は従来より桁が短くなってむしろクラックリスクが上昇してるんですけど?
しかも全員6桁なのがミソ。総当りでクラックする犯罪者が居たとしたら、今週からは6桁固定でアタックしたら当たりやすいことになりますね。

もう今日は焦りましたよ、まさかこんな影響を従来ユーザーが受けるとは。
勝手にパスワードの桁を短くするなよなぁ? 
32桁機能追加な本来の効能より(心情的に大勢が長い桁に移行しないだろう)、
6桁にされてしまった大勢の人が今週は問い合わせ殺到してるらしく、本日夜にメールが来た(日曜の変更を水曜とは遅い!しかも私もそれ読む前にハマってしまったし)。
普通なら『6桁以上だったお客様はそのまま長い桁で有効です。そのままお使いください』でしょうに。
そういうふうにする気配なし>みずほ
逆に「6桁になってますので、パスワード変更によって長い桁にすることで安心を…」とか言ってるし。
6桁リスクを生み出したのは貴方でしょうがー(笑)。

しかもみずほでは2006年1月現在、
*キーロガー対策でソフトウェアキーボード導入→実際はオプション扱い。私も最近までニュースで見ていたのに実装されているのを気付かなかったぐらい。キーボード直接入力がデフォルトなサイト構成のまま。
*暗証番号をそのまま入れる方法をやめ、指定された桁の数字を答える方式に変更→例えば6桁固定の第二暗証番号がそう変更されたが、聞かれて答える桁はいつも同じ。暗証が「123456」だった場合、第一問「6桁目は何ですか=6」とか固定。だから手入力する数字はいつも固定値。キーロガーで押す順番を知れば、実際は123456なことは知らなくてもいい。しかも質問は4回まで。なので6桁だったのが4桁に短くなってる。総当り攻撃でやられる危険性が高まってますよ…。
トークンとか乱数表は確かに面倒だが、短い固定値でしかも数字のみはあまりにも危険じゃないですか、ねえ?

誰もいくつかの銀行に口座持っているでしょうが、
今回の措置はネットバンクでの最悪の部類でしょう。
なんでニュースにならないのだろうかなあ。

|

« 検索キーワード2005 | トップページ | 東証システムとガソリンスタンド裏の原子炉 »

パソコン・インターネット」カテゴリの記事

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/3180/8335637

この記事へのトラックバック一覧です: みずほダイレクトの縮退なセキュリティ対策:

« 検索キーワード2005 | トップページ | 東証システムとガソリンスタンド裏の原子炉 »