滋賀銀行のセキュリティが危ない?
-
akihirosato1975
- 14687
- 35
- 0
- 39
-
- いいね!39
滋賀銀行のインターネットバンキングのログインパスワードがまさかの数字onlyで4〜8桁と話題に
椎路ちひろ
@ChihiroShiiji
その上、ログインページのURLのドメインが"bb4.ib.finemax.net"でEV認証はHitachi Ltd.。 日立が作ってるのか&この滋賀銀と無関係な上に見慣れないURLはフィッシングされたらキツいね…という。
2018-04-01 06:27:16
Hiromitsu Takagi
@HiromitsuTakagi
滋賀銀行のログインパスワードが数字4桁〜8桁という話、マジだった。よくこれで被害が出ないな。気づいていないか、隠蔽してるんだろうね。それにしても、今時アドレスバーをわざわざ非表示にするポップアップウィンドウで開くとか化石レベルだ。10年前までに絶滅させたはずだが。 pic.twitter.com/UzRad9e3mB
2018-04-01 21:01:24
拡大
Hiromitsu Takagi
@HiromitsuTakagi
数字しかないソフトウェアキーボド(笑)が泣かせてくれる。 pic.twitter.com/u5CopVj4SC
2018-04-01 21:03:17
拡大
Hiromitsu Takagi
@HiromitsuTakagi
いやいや、アンタ、ポップアップ画面を表示して暗証番号の入力させてるやん。 shigagin.com/news/dinfo/716 「当行では、ポップアップ画面を表示して、お客さまに暗証番号等の情報を入力していただくことは一切ございません。」 pic.twitter.com/hHA2vk38ZE
2018-04-01 21:06:40
拡大
椎路ちひろ
@ChihiroShiiji
Finemaxで検索するとここにも高木氏の足跡が!w 2007年12月15日 ■ 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている takagi-hiromitsu.jp/diary/20071215…
2018-04-01 06:57:44
Naomi Suzuki
@NaomiSuzuki_
滋賀銀行のパスワードが、エイプリルフールネタではなくマジで数字4桁〜8桁な件。ちなみに振込時には、事前登録した6桁の数字(確認用暗証番号)のうちの指定した桁2個を入力という絶滅危惧種仕様なので、昔のキットの出番ですよ! twitter.com/HiromitsuTakag…
2018-04-01 23:51:30
石橋 茂政 💉mmmpppp💉
@Shige0301
これ、滋賀銀行だけの問題なんかな? だいたい、EV証明書ではあるけど、なぜか日立製作所のやつだったりするし。日立のパッケージか何かなんじゃ? 最初に使った時は少しびっくり。 そして、口座開設してネットバンキングも開設したけど、未だ1円も預けてない。 twitter.com/hiromitsutakag…
2018-04-02 05:24:14
Hiromitsu Takagi
@HiromitsuTakagi
shigagin.com/personal/direc… 頭悪すぎ。どうして誰も助けてあげないんだろう。気の毒すぎる。
2018-04-01 21:10:17
椎路ちひろ
@ChihiroShiiji
名古屋支店の1個人口座ユーザ(比較的大口で付き合いは長いにしても)が苦情あげたくらいで、この「10年前に滅ぼした筈」と高木氏が呟いてしまうような古めかしい特徴を遺存したレガシーネットバンキングサービスにどの程度の改善が見込めるものか。
2018-04-02 06:08:56
椎路ちひろ
@ChihiroShiiji
振り込みで6桁中の指定された2桁分を入力して使う「確認PW」も数字。 も、とにかく桁数の少ない数字にこだわる滋賀銀のネットバンキングサービス。
2018-04-01 06:10:34
椎路ちひろ
@ChihiroShiiji
大体、Finemaxのサービス上に展開してるので改善するにしても上限はその辺り。 Finemaxが一応はワンタイムパスワード生成器に対応してる[ hitachi.co.jp/New/cnews/mont… ]ようなので滋賀銀行もちゃんと対応しろや!…くらいは求めてもバチは当たらない気はするけど。
2018-04-02 06:15:41
椎路ちひろ
@ChihiroShiiji
その上、ログインページのURLのドメインが"bb4.ib.finemax.net"でEV認証はHitachi Ltd.。 日立が作ってるのか&この滋賀銀と無関係な上に見慣れないURLはフィッシングされたらキツいね…という。
2018-04-01 06:27:16
椎路ちひろ
@ChihiroShiiji
と思って改めて探し直してみると: ワンタイムパスワード(ソフトトークン)について shigagin.com/personal/direc… お、あるじゃん…と思ったらハードウェア型なし、スマホアプリ型のみの対応可かよ…。うちモバイル機器はガラケーとタブレット+モバイルルータなんじゃが…。
2018-04-02 06:21:37
椎路ちひろ
@ChihiroShiiji
IE11立ち上げて「ソフトウェアキーボード」機能使ってみたけれど、数字をクリックしても入力されないでキーボードから入力できるという無意味な挙動だった。Firefoxでも同じく。ダイアログも出ない。修正されたというよりは機能が殺されている?(ならソフトウェアキーボードのチェックも消しとけよ感
2018-04-01 07:14:25
ynaga
@ynagavw
@HiromitsuTakagi 滋賀銀行の個人向けオンラインバンキングはFINEMAXというサービスにアウトソーシングしているようですが、ログインパスワードの設定はそのサービスのデフォルト設定かまたはカスタマイズできないのではないでしょうか。
2018-04-02 08:11:56どうも無理に他サービスと共通化を図ったためらしい
椎路ちひろ
@ChihiroShiiji
PWが数字のみ4-8桁であるだけでなく、ユーザIDも数字のみ(桁数は何故かPWの最大長より長いw) twitter.com/ChihiroShiiji/…
2018-04-01 05:47:08
椎路ちひろ
@ChihiroShiiji
IDとPWのフィールドにイレギュラーなフィールド名を使っているせいかパスワードマネージャはピクリとも反応しないが、これはパスワードマネージャを使わせまいとする努力というよりは単に行内の独特な用語を反映しただけのような気もする。
2018-04-01 06:02:24
椎路ちひろ
@ChihiroShiiji
これはどうもテレホンバンキング(有線)・モバイルバンキング(携帯)とID、PW、確認PWという仕組みを共有しているためではあるまいかと疑っている。
2018-04-01 06:10:51
椎路ちひろ
@ChihiroShiiji
実際、テレホンバンキング、インターネットバンキング、モバイルバンキングで共通化された「ご利用の手引き」1冊が送られてきて全部で同じID、PW、確認PWという仕組みを使いまわしてる…。
2018-04-01 06:11:30
椎路ちひろ
@ChihiroShiiji
恐らくこの無理な共通化のためにテレホンバンキングもモバイルバンキングも使わないネットバンキングのみユーザも数字4-8桁PWに制限されちゃってることになる。 twitter.com/ChihiroShiiji/…
2018-04-01 06:23:32
椎路ちひろ
@ChihiroShiiji
とにかく、何かあるたびに支店の物理窓口、電話、郵送、紙の申請書に署名捺印が飛び交う1週間単位の長閑なネットバンキングである。不便なのは自覚があるのか電話窓口では確認暗証番号再設定せずにあてずっぽで挑戦することを勧められたが、(続く twitter.com/chihiroshiiji/…
2018-04-01 23:49:37
椎路ちひろ
@ChihiroShiiji
ちなみにこの件[ twitter.com/chihiroshiiji/… ]のその後: 確認暗唱の再設定となり、また本人確認(電話口でオペレーターから生年月日とか聞かれる)の電話があり、ネットバンキング利用凍結になって、3枚複写式の紙の再発行申請用紙が郵送されてきて、それを返送して1〜2週間後通知が来て利用再開。
2018-04-01 23:44:20