カード型のワンタイムパスワードじゃ、偽サーバ立ててリアルタイムでワンタイムパスワードを使えば、不正送金させられるんだよな。このセキュリティ上の問題には、大分前に気が付いていたけど、ここを突いてくるウイルスが出てくるのは、早かったなぁという印象。
これの対策を考えると、Web上で振替送金の金額と振込先を指定して、ボタンをクリックした時に、金額と振込先に紐づいたワンタイムパスワードをメールで登録されたケイタイメール(キャリアメール)に送る方法と思いました。
送金操作をしてない時にケイタイメールにワンタイムパスワードが送られてきて、それを偽サイトに入力しない限り、大丈夫なのかな。うん、メール型ワンタイムパスワードの方が、強力なセキュリティと思いました。
あ、偽サイトで送金操作をした時に、送金内容を不正送金に置き換えて銀行のサイトに送れば、ユーザには「偽送金内容に基づいたワンタイムパスワード」が送られてくるから、やばいな。
送金操作をしない限り、ワンタイムパスワードが来るのはおかしいから、送金操作をするまでは、大丈夫なのか、、。
ケイタイメール型ワンタイムパスワードって、サーバへの負担が大きくなるから銀行はやりたくないのかな。これしかないと思うけど。どうだろうか。
-
2014/05/13 (火) 17:23
- | トラックバック:0
-
| コメント:0
