- SBI証券219
946 :山師さん 警備員[Lv.35] (ワッチョイ beaf-PX6e)[sage]:2025/03/23(日) 00:51:27.00 ID:RmCF9z9f0 - スマートアプリを導入すると、マネーフォワードからの残高参照の際も認証が必要になりますか?
|
- SBI証券219
967 :山師さん 警備員[Lv.35] (ワッチョイ beaf-PX6e)[sage]:2025/03/23(日) 08:52:44.80 ID:RmCF9z9f0 - セキュリティ対策に万能、満点の対策はないので多重防御するしかない
パスワード管理ソフトで自動入力していれば、ドメインが違う偽サイトでは自動入力が働かず異常に気づけるかもしれない
パスワードの使い回しを防ぐにも管理ソフトは必須
秘密の質問はユーザのみが知っている知識による認証である
パスワードと同様であり、パスワードと秘密の質問を両用しても効果は薄い
偽サイトで入力したら終わり、みたいな弱点も共通なので
|
- SBI証券219
972 :山師さん 警備員[Lv.35] (ワッチョイ beaf-PX6e)[sage]:2025/03/23(日) 09:59:01.90 ID:RmCF9z9f0 - マネックスはGoogle Authenticatorとかを使う、標準のOTPをログイン時に使用可能ですね
セキュリティと手間のバランスとして、ログイン時の認証はこれでいいと思うのだけど
SBIにも採用して欲しい
|
- SBI証券219
980 :山師さん 警備員[Lv.35] (ワッチョイ beaf-PX6e)[sage]:2025/03/23(日) 10:36:01.38 ID:RmCF9z9f0 - >>977
Google Authenticatorとかを初回登録するときのQRや30桁英数くらいのコードがバレたらダメ
誰でもOTPの正しい6桁数字が生成出来るようになってしまう
|
- SBI証券219
984 :山師さん 警備員[Lv.35] (ワッチョイ beaf-PX6e)[sage]:2025/03/23(日) 10:46:39.51 ID:RmCF9z9f0 - >>982
各金融機関が提供している専用アプリはMedia Access Controlアドレスとか見ているかもしれない
Google AuthenticatorみたいなRFC4226, RFC6238に従った汎用アプリはそうでない
Hashed Message Authentication Codeベースだけど
|
- SBI証券219
985 :山師さん 警備員[Lv.36] (ワッチョイ beaf-PX6e)[sage]:2025/03/23(日) 10:53:52.85 ID:RmCF9z9f0 - >>983
SBI VCトレードはGoogle Authenticatorが使えるけれど
SBI証券は専用のスマートアプリが必要ははず
「勝手にいちユーザーがGoogle Authenticator」というのが成立しない
|
- SBI証券219
991 :山師さん 警備員[Lv.36] (ワッチョイ beaf-PX6e)[sage]:2025/03/23(日) 11:21:25.25 ID:RmCF9z9f0 - >>988
リクエストフォームからSBIへお願いしました
|
- SBI証券219
992 :山師さん 警備員[Lv.36] (ワッチョイ beaf-PX6e)[sage]:2025/03/23(日) 11:33:59.02 ID:RmCF9z9f0 - >>990
ごめん、
982は間違いでGoogle Authenticatorとかは他端末で同じコードを生成可能、ということでいい?
それはハックというより仕様だと自分は感じるけど
|