オンライン銀行支払いの追加確認
今日、誰かがオンライン支払いをしているとき、関連する銀行はしばしば認証ステップを必要とします。
私の知る限り、これを行うには主に2つの方法があります。
- SMS検証。銀行は、認証Webページに記載する必要のある特定のコードを使用してSMSをクライアントに送信します。
- 生年月日を記入してください。コードを入力する代わりに、認証Webページはクライアントの生年月日のみを必要とします。
生年月日は多くのウェブサイトで提供されていることから簡単に見つけられる情報であるため、2番目のバージョンは最初のバージョンよりも安全性が低いようです。
では、なぜ銀行はSMS検証を代わりに使用するのですか?それはいくつかのプロトコルの複雑さを意味しますか?)
私はここスイスで許可証を持っている銀行の多くをカバーするためにかなり長い間プロの侵入テストを行ってきました。従来、彼らはユーザー名/パスワードのみを使用していました。
その後、紙に配布された[〜#〜] tan [〜#〜](トランザクション認証番号)に切り替えました。私はスイスに残っている2つの銀行がまだこれを行っていることを知っています。 2つの理由があります:(1)それは安いですそして(2)何人かのレガシーユーザーはまだ追加の技術を恐れています。
ほとんどの銀行は、別のデバイスを介して2要素認証を実施しています。主な解決策はスマートカード、トークンおよび[〜#〜] sms [〜#〜]です。それらはすべてコストがかかります。トークン/スマートカードには初期投資が必要であり、SMSメッセージごとに支払う必要があります。
SMSに関しては、1日に数十回ログインしてトランザクションを作成する必要がある顧客はあまり歓迎されません。スイスの銀行は、これらのメッセージを送信するための費用を支払う傾向があります。しかし、彼らの中には、顧客にお金を払わせるか、少なくとも1日あたりに送信されるメッセージの量を制限することを考えている人もいます。
SMSは、送信中またはモバイルデバイス上での休止中に傍受される可能性があります(これは、銀行のログイン自体にも使用される可能性があります)。これが、高セキュリティソリューションに関しては、トークンのような物理的に分離されたソリューションが好まれる理由です。
生年月日だけを認証に使うという話は聞いたことがありません。生年月日は取り消せないので、それは悪い考えです。つまり、「侵害されている」場合は変更できません。
それがコンサルティングアカウントまたはトランザクションの唯一の認証手段である場合、それはREALLY BAD IDEAです。
しかし、それは私の2番目のポイントに私をもたらします。一般的に、それはあなたのリスクとは見なされませんが、銀行のリスクと見なされます。あなたが彼らの認証メカニズムが悪いことを証明することができて、あなたが詐欺に遭った場合、彼らはあまり勤勉ではなかったので、銀行があなたに返済しなければならないという合理的な可能性があります。
そうは言っても、それを解決するにはまだ多くの面倒を経験する必要があります。銀行がそのようなアプローチを取っていて、他の統制が整っていない場合、私は銀行にとどまりません。
ほとんどの銀行は、理想的には認証の複数の段階を使用します。これらは次のように分類されます。
- あなたが知っていること(パスワード)
- あなたが持っているもの(カード/トークン/電話)
- あなたが何か(生体認証)
DoBを要求することにより、銀行は1つのソースのみに制限しています。パスワードがわかれば、攻撃者が生年月日を見つけられないとは考えにくいことを考えると。
ただし、2番目のタイプの認証用のインフラストラクチャのセットアップにはコストがかかる可能性があります。ほとんどの企業は、このシステムを実装するコストとリスク(違法なオンライン取引による損失の支払いで失われた金額)を比較検討します。支払いの認証を強化することを求める法的な圧力がなく、オンライン詐欺のコストが非常に低い経済では、銀行が複雑なシステムに投資しないことは理にかなっています。銀行は、価値の低い取引に対してのみ、またはオンライン取引の数が少ないためにこれを行うこともできます。
また読む: シュナイアーは2FAが離陸しないと予測している 利益はごくわずかであるため(これは2005年でした)。