人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

金融機関のネットバンキングやカード類の暗証番号を、一定期間が過ぎると変更してくださいという案内が来ま
す。しかしながら、文字数や文字の種類が決まっているので、変更しても暗号強度は全く変わりません。

早い話が、変更しても何にも安全性は高まりません。
例えばキャッシュカードは4桁の数字なので、これは宝くじのナンバーズ4を毎回数字を変えて買っても当たる
確率はまったく変わらないのと一緒で、暗証番号1234から5678に変えたとしても当てられてしまう確率
は変化しないんです。

長期的に1個づつ総当りで0000から順番に試されたとして、9999から1111に変更したとすれば、結果として解
読されやすい方に変更してしまうことになります。その間、相手がどんな番号をどんな順番で試すかも結局は1
万分の1の確率なので、逆に、運良く試し終わった番号に変更できる確率も1万分の1です。どんな番号に変更
しても全く確率は変わることはありません。

自分に関連のある番号を使うのは問題外としても、同じ暗号強度なのに何をどう変更すればより安全になるのか
教えてください。

●質問者: kodomono-omocha
●カテゴリ:コンピュータ 経済・金融・保険
✍キーワード:カード キャッシュカード ナンバーズ ネット バンキング
○ 状態 :終了
└ 回答数 : 11/11件

▽最新の回答へ

[1]目的が、暗号強度を高めるのではなく、安全度を高めるため ele_dir

ここでの暗証番号変更は、暗号強度を高めるのではなく、いつも使っており、どこかで流出してる可能性があります。

これを使えなくするためのものであり、暗号強度その物を高めるのとは目的が違うと思います。

そのため、暗号強度を高める意味合いは全くないと思います。


[2]>1 すでに知られているパスワード hiko3karasu

そうですね。暗号強度の強化ではないです。

すでに第3者に知られている(可能性のある)パスワードを新しくしてくださいと言う意味ですね。


[3]>1 その場合だと、 kodomono-omocha

私のキャッシュカードの例で言うと、流出する可能性としてはATMで入力しているのを覗き見される以外にありません。

全くランダムに作成され、かつ個人情報と関連付けられていない番号です。何にも書かれておらず、誰にも伝えておらず

もし忘れたら自分でも手がかりが無いので再発行してもらうしかありません。

(むしろ個人情報に関する番号や禁止番号(連番など)は除外できてしまうので暗号強度が下がっています。)

そして、カードと暗証番号の両方が万が一流出したとして、流出したら次の瞬間には悪用されるので一定期間というのは

意味が無いと思います。(ワンタイムパスワードでなければ、一定期間後の変更の意味はほとんど意味が無いのでは?)


[4]>2 すでに知られているとしたら kodomono-omocha

すでに手遅れですよね?

変更するべきは、パスワードではなくIDの方ではないのでしょうか?


[5]>4 追伸 kodomono-omocha

で、IDを変更できれば、パスワードなど糞食らえなのにできないところが殆どで、手落ちと言うほかない。


[6]実際には安全性を下げる局面も Sampo

暗証番号流出に対する安全性は、確かに定期的な変更で確保できるのですが、これは別な面での脆弱性も生みますよね。

定期的に変更している暗証番号なんて、普通覚えていられません。金融機関だって一つではないのだし。

結果として

ような脆弱な運用を利用者にさせてしまう可能性が強いと考えられます。


[7]>3 ATM以外にも共通の暗証番号を使っていたら・・・ ele_dir

多くの人が、複数の銀行で同一の暗証番号を使い、クレジットカードや消費者金融など他のカードでも同じ暗証番号を使っているようです。

長期間使っていると、いつ、どこで漏れるか分からないのが一般的なことだと思います。

特に、漏れる可能性も、使えば使うほど(更新日より、日が経つほど)暗証番号を入力しますので増えていきます。

そのため、変更が有効な防衛手段になるのではないでしょうか?

また、漏れてもすぐに、その暗証番号を使うというのは、犯人にとって足が付く危険なやり取りになる気がします。


[8]>5 IDでも暗証番号でも変更できれば、同じ役割かと ele_dir

漏れたのが分かっていれば、そのカードや口座を一時凍結にするのが適切だと思います。

漏れたかどうか分からない場合、もしくは、その恐れがある場合、IDでも暗証番号でもどちらでも変更できれば問題ないと思います。

むしろ、IDは名前のようなものですので、どちらかというと、覚えやすいものでも良いと思います。

そして、暗証番号は注意して記憶しとくという役割があるので、暗証番号の方を変更する方が理にかなっているかと思います。


[9]>4 まあ、そうですよね。 hiko3karasu

パスワードは知られたけど実被害はまだかもしれません。

金融機関側も少しでも危険を回避するための注意勧告はしたという既成事実は作っておきたいのではないでしょうか。


[10]銀行は3回でロック seble

ですよね?普通は、、

1日2回までは試せますので、毎日繰り返せばいつか判明する事になります。

単純な4桁数字なら5千日以内に判明する事になります。

(10年以上ですけどね、実際にはもっと早いでしょ?)

が、途中で変更されればすでに試された暗証番号へ変わる確率も高く、そうなるともう1ループするまで判明しない事になります。

適度に変えていれば判明する確率は天文学的に低くなります。

もちろん、アトランダムに総当たりされると当たる確率は1/5000でありますが、1日で1/5000だから、まあ、無視できる範囲かと、、

番号を変えないと2日目の確率は1/4998、3日目は1/4996と徐々に下がってしまいます。

数年以内に当たる確率は結構高いかと、、


[11]納得したようなしないような kodomono-omocha

ですが終了いたします。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ