【ODRピックアップ】20151119 ”私で”認証するしかない
法人用オンラインバンキングのセキュリティは、モノがモノだけに、厳重でそれゆえに少々面倒な方式が取られています。IDとパスワードはもちろん、電子証明書が銀行から発行され、ダウンロードしてインストールしますが、パソコンを換えたりブラウザを変更すると再設定しなくてはアクセスできないようになっています。
某銀行では、それに加えて、ワンタイムパスワードのデバイスが配布され、特に振り込みを行なう場合には、デバイスが時間に応じてランダムに発行するパスワードを一定時間内に入力しないと、処理ができません。
これまでは、ID番号と第一パスワード、そして銀行から最初に配布された第二暗号10数パターン)を示すカードが処理のためのセキュリティでした。これはこれで、考えられていたものでしたが、フィッシングサイトによって、このカードのパターンを入力させるものが登場したことにより、事前の対策として、ワンタイムパスワードデバイスが配布され始めたようです。大手のIT企業では、社内システムへの社員によるアクセスでも、同じワンタイムパスワードが導入されていましたが、それは既に10年以上前。そこから比べると大分遅いといえます。
今後は、このデバイスを持っていないといけません。(法人口座は、特定の場所からしかできないので、”そこ”に置いておけばいいのですが。。)
ー>因に、この記事で”特定の場所”がどこかを書いてしまうことも、セキュリティリスクです。
IDとパスワードによる認証だけでは、漏洩によるリスクが現実化しています。「いつ何時悪意ある人の手中に収まってしまうか」は時間の問題、あるいは「もうどこかに漏洩していて不正アクセスされていないだけかも」、というのは単なる脅しでしょ?とはいいきれません。
昨年は、日本の企業からもIDやパスワードのアクセス事件がありました。
怪しげなサイトで4ドルほどの金と、2分ほどで、クレジットカード番号、電話番号、社会保障番号、住所を調べられる。5分ほどあれば、アマゾン、Hulu、マイクロソフトなどのアカウントへの侵入可能だ。10分で、あなたの電話、ケーブルテレビ、インターネットの回線を乗っ取れる。合計でものの20分もあれば、ペイパルのアカウントまで手に入れられる
確かに、そもそものIDとパスワードは、まだパソコンもなくCPUも高くてホストコンピュータを共用していた時代に編み出された利用管理の仕組みからきています。そもそもセキュリティ目的ではない。パスワードを強固なものにするには、数字と文字と記号を混在させ、なるべく長くして、すぐ連想できるようなものはダメで、利用するサイトごとにかえるべきだ。。。理屈はわかりますが、覚えきれない、混乱する、そうだ!どこかにまとめて書いて保存しておこう。。。でも、これでは結局そのファイルを盗み出されたらオシマイです。パスワードを忘れた場合の再設定の仕組みも、秘密のパスワードも、出身地や母の旧姓、最初の車など、意外にSNSに書いていたりして、その気になれば破れてしまうものといいます。(確かに。。。ついついどこかに書いてしまっている)
結局IDとパスワードでは、複数に複雑にしていくことになり、忘れたり間違えたりしやすくなり、管理をしようとすると一元化したり記憶以外の紙などの別媒体となり、結果、漏洩しやすくなってしまいます。
最後には、自分=私自身の何かを認証に使用するしかなくなってくるのでしょう。
iPhoneの指紋認証はその具体例。それでも、うまく読み取れなくなった場合に解除する方法は悪用される可能性を残します。映画にあるような瞳の認証か?あるいは手のひらの静脈認証か?いずれは、そうしたデバイスが必須になるのかもしれません。瞳認証は、既に内蔵カメラのついたPCならばデバイスの買い足しなしでも可能か。
次にくるのは、これまた映画のような、瞳の模倣や指の模倣か。荒っぽいのは、それによる殺人、犯罪?これ以上の想像はやめておきます。
