web-dev-qa-db-ja.com

なぜ私の銀行はオンラインバンキングにログインするために基本的な個人的な質問をする必要があるのですか?

オンラインバンキングにログインするには、「お母さんの旧姓は何ですか」または「おじいさんのミドルネームは何ですか」などの基本的な個人的な質問に答える必要があります。また、コード生成デバイスから1回限りのコードを入力する必要があります。 。

私には、セキュリティのすべてではないにしても、99%が1回限りのコードジェネレーターから提供されているようです。個人的な質問は非常に基本的であり、プロセスに何も追加しないように見えることを誰かが見つけるのは簡単です。

私が気になるのは、それがほとんど意図的に基本的で簡単に思えるということです。銀行からもっと安全なパスワードを作成するように依頼されたかもしれませんが、そうではありませんでした。

私の推測では、彼らは2つの要素を追加したかったのですが、コードジェネレーターデバイスだけでなく、安全なパスワードの要件でユーザーを混乱させたくありませんでした。

彼らが代わりに基本的で安全でない質問を要求する正当な理由はありますか?

これは悪い習慣であることに同意します。多くの方法の1つで答えをスクランブルすることで、より良い練習をすることができます-父親についての質問に最初の車を参照するようにさせたり、その逆を行ったり、誤った答えを与えたり、無関係な答えを与えたりします(覚えている場合)あなたの無関係な答えは)、ソーシャルエンジニアリング攻撃を阻止/防止します。彼らのシステムには、これらに正直に、一貫して答えることを要求するものは何もありません。

一部のシステムでは、独自の質問を入力できます。これは、より安全なパスワードとして機能するものを選択することを奨励するため、大きな改善です。

ただし、これらは1つの特定の操作(パスワードのリセット)をセキュリティで保護するためにのみ使用され、アカウントの所有者のメールボックスとのやり取りによってさらにハンドシェイク(ハンドシェイク?もちろん、メールボックスもクラックされた可能性がありますが、これは間違いなく2つの安全性の低いメカニズムが追加されて、ほぼ許容できるメカニズムになった場合です。

しかし、それでもあなたの銀行に不満を言う価値があります。十分な人が文句を言うなら、彼らはそれを改善するかもしれません。

6
keshlam