Akky in Ninja

みずほ銀行が提供している「みずほダイレクト」というオンラインバンキングサービスがあるのだが、このオンラインバンキングのログイン画面のセキュリティ設定が何とも微妙なものになっているようだそうです。 あるAnonymous Coward 曰く、みずほダイレクトのログイン画面では、「普段と環境が異なる」と判定された場合に合い言葉を入力する画面が表示されるのだが、ここに「このパソコンを登録しません」というチェックボックスがある（みずほダイレクトのヘルプページ）。このチェックボックス、デフォルトではOffになっているのだが、この状態でログインを行うと、使用したPCが「普段利用するパソコン」として登録され、次回からは合言葉確認画面をパスできるようになるらしいらしいです。 そして、この「普段利用するパソコン」の識別は、Cookie等を利用するのではなく、なんとアクセスしてきたPCのOSとIPアドレスをデータベースに登録し、その情報を用いているそうだそうです。つまり、たとえば出先のPCでオンラインバンキングを利用したときに、ついうっかり「このパソコンを登録しません」チェックボックスをOffにしたまま、「次へ」ボタンを押してしまうと、共用PCで2つの合言葉確認をしない環境が提供されてしまうのである。ログインには「お客様番号」と「ログインID」も必要なため、これだけでログインできる状態ではないものの、鍵3つのうち2つが失われてしまう状態になってしまう。 すべて読むセキュリティセクションセキュリティ 関連ストーリー： パスワードのマスキングは廃止すべき 2009年06月27日 Yahoo! Japan、ログインアラート機能を開始 2009年05月18日 FF11などでワンタイムパスワード認証が利用可能に 2009年04月03日 GPUを使ってWPA/WPA2-PSKパスワードをクラックするセキュリティ製品が発売 2009年01月17日 最も危険なプログラミングエラーTop 25 2009年01月14日 「Google ChromeやSafariのセキュリティの粗さ」を指摘する調査結果 2008年12月17日 これは急がないと！