web-dev-qa-db-ja.com

安全なウェブサイトのユーザー名に誤ってパスワードの一部を入力する

私の質問はすでに部分的に回答されています ここ 。ただし、以下の状況を考慮して答えが異なるかどうかを知りたいです。

銀行のWebサイトにログインすると、パスワードを入力するときに誤ってユーザー名ボックスがクリックされるため、パスワードの後半が送信される前にユーザー名に追加されます。

Webサイトが銀行のWebサイトであり、パスワード全体が明らかにされていないことを考えると、上記のシナリオのようなことが起こった場合、おそらくパスワードを変更することをお勧めしますが、そうしなくてもいいですか?

2
Question

ログインフォームを送信した場合(つまり、[ログイン]ボタンをクリックした場合)、パスワードを変更する必要があります。パスワードはWebサーバーのログに表示される可能性があるためです。

フォームを送信せず、ページのテキストボックスに入力しただけでフォームを削除した場合(誰も肩越しに見ていると想定していない場合)、アクションは- whoopsそして次に進みます。

2
HashHazard

オンラインバンキング詐欺について覚えておくべき重要なことは、 あなたは責任を負いません です。フィッシングを受けて誤ってPINまたはその他の情報を渡した場合でも、責任は$ 50に制限されています(詐欺をタイムリーに報告した場合)。

銀行があなたの口座を保護するために非常に長い時間を費やす理由は、損失からあなたを保護することではありません。 銀行を損失から保護するためです。ほとんどの金融機関には、「リスク部門」と呼ばれるものがあり、オンラインサービスを調査して、自社の製品が過度のリスクにさらされないようにします。また、PCI-DSSやFDICなどの多くの規制にも準拠する必要があります。

現在、ユーザー名情報(この場合はパスワードの一部が含まれています)がログに記録されるかどうかは、ユーザーがWebサイトをどのようにプログラムしたかによって異なります。ほとんどの場合、記録と監査の記録は慎重に編集および保護されているため、入力した内容は制限された担当者しか見ることができません。PINやクレジットカード番号などは、間違いなく編集されるログに記録されました。また、ほとんどの(すべてではない)銀行はユーザー名を個人情報として扱います。つまり、編集も行われます。

誰かがあなたのパスワードを入手したとしても、あなたのアカウントはおそらく帯域外を含む認証の第2要素によって保護されています。そして、誰かがそのすべてを乗り越えたとしても、外部送金(つまり、誰かがお金を盗む方法)などのリスクの高いトランザクションは、多くの場合、複雑なリスク分析と「ステップアップ」認証によって保護されます。ハッカーが正しいユーザー名、パスワード、秘密の答えを使用し、何らかの理由で帯域外認証を偽装した場合でも、トランザクションが拒否されるか、たとえば疑わしいIPアドレスがある場合、監査キューに保留されます。なじみのない指紋を持つブラウザから、またはトランザクションプロセッサが多くのトランザクションをすべて1つの場所に送信することを検出した場合。

さて...あなたの質問に戻ります...パスワードを変更する必要がありますか?まあ、それは確かに傷つけることはできませんでした。しかし、自分のパスワードの一部をユーザー名フィールドに誤って漏らしたとしても、正直に考えて考えてはいけません。

0
John Wu