「リバースブルートフォース攻撃」を含む日記

■anond:20200910181137

暗証番号が4ケタでWeb上でサービスを展開するってのは、アカンよな。

リバースブルートフォース攻撃だっけ？パスワードスプレー攻撃？そりゃ弱いわ。

セキュリティ強いと言われている三井住友も、暗証番号4ケタでログインできて、残高照会程度なら出来るから

あまり気持ちのいいもんじゃねえんだよな。

まあ新しい振込先に金を移動する時は、さすがに二段階認証やってるから、今回のドコモ口座事件では被害ゼロのはずだが。

Permalink | 記事への反応(1) | 18:28

ツイートシェア

■anond:20200910101315

口座振替の認証は銀行側やで？(正確には地銀ネットワークサービス社のWeb口振受付サービス)

リバースブルートフォース攻撃が可能であった脆弱性(これ自体はまだ推論なんだけど)の責任は明確に銀行側だよ。まさか「相手は絶対そんなことしない(信頼してる)から、OK」を外部開放するシステムに認めていいわけないよな。

Permalink | 記事への反応(0) | 10:20

ツイートシェア

■anond:20200909091623

それを逆から暗証番号を固定して（よく使われる2525とか日付とか）、入手した大量の口座番号でリバースブルートフォース攻撃を仕掛けられることが発覚したってのが今回のドコモ口座事件よ（実際の手口がこれかは別にして、それができてしまうシステムだった）

だから1万件の口座番号を入手できても、盗み出せるのはそのうち数十件程度となる

本来、ネット銀行がオンライン取引をするなら2段階認証や乱数表使ったりして本人確認があるから（キャッシュカードの代わり）、口座番号と暗証番号が分かっただけでは盗み出せないのだけど、ドコモ口座がその抜け道を用意していたという話だな

Permalink | 記事への反応(0) | 10:00

ツイートシェア

■anond:20190704205955

リバースブルートフォース攻撃に弱そう

Permalink | 記事への反応(0) | 21:08

ツイートシェア