「4桁の暗証番号≠パスワード」まずこれを理解して欲しい。
4桁の暗証番号だけでセキュリティとして機能するなんて考えている(またはそう良い張っている)の人達が未だに居る事に、あまりに稚拙で辟易とします。
オンラインバンクの振込が、口座情報と暗証番号だけで出来る、そんなザルシステムが存在し運用されていた事自体驚き。
数字4桁なんて、たかだか1万通り。しかも「よくある4桁の暗証番号」っていう統計が有って、それを上位から数個試すだけで相当に高い確率で暗証番号がHitします。
例の件、自前でシステムも組めず、無知な銀行側は「ドコモが悪い」って良い張るんでしょうかね?
※悪用出来るような架空口座作り放題だったドコモ側にも一定の瑕疵はあるけど…。
ドコモ側と銀行側で訴訟合戦やり合って、裁判で「オンライン取引で4桁の暗証番号だけでは十分とは言えない」とかいう判例出して欲しいところです。多分やらないでしょうが。
余談ですが、クレジットカードの4桁暗証番号、あれは自動販売機などの機械以外は、対面では絶対に使いません。サインを使った取引だと不正利用の際に補償されるけど、暗証番号を使った取引は原則的に補償対象外になるので。
たかだか4桁の暗証番号とICチップを使った認証が「高度なセキュリティ」ということで、不正利用される可能性が低いから・・・だそうな。
レジの暗証番号入力用テンキー、あんなもの周囲から丸見えで「どうぞ私の暗証番号を今から公開します」ってやっているようなもんです。
さらに余談。
キャッシュカードの4桁暗証番号は、それのみでセキュリティが確保されてるんじゃなくて、
- 用意されたATMでの入力(入力者の姿を晒し、不審な連続攻撃が困難)
- 偽造の難しいICカードによる口座情報(なりすましの阻止)
- 暗証番号の利用(窃盗されたICカードの不正利用の阻止)
- 比較的周囲から隠された操作入力部分(漏洩の阻止)
など、これらの組み合わせによってセキュリティが確保されてます。
先のオンラインバンクだと、そもそも「2」が無いから「3」が殆ど意味を成してません。
一方で、クレジットカードの暗証番号では「4」が足りないので、常に暗証番号漏洩のリスクを伴います。
とは言え、まぁ裏技は色々有るもんなので、完全ではないけれども攻撃者から見てリスクと報酬のバランス的に「面倒だな」と思える水準は今のところ保てているようです。
