銀行は取引確認のためにワンタイムパスワードを(SMSで送信しながら)電子メールで送信します。これは安全ですか?
ほとんどの銀行では、OTP(ワンタイムパスワード)を使用して、二重要素による認証を強化しています。
しかし、銀行がOTPを電子メールだけでなくモバイルにも送信していることを確認しました。
電子メールでパスワードを共有することは安全ではなく、情報セキュリティの専門家が推奨する方法ではないと思います。
以下は、OTPでモバイルに送信するサンプルメールです。
銀行の慣行により、OTPは安全ではありませんか?または、ここで何か不足していますか?
多要素認証(別名2要素認証)は、長期間有効なパスワードを使用するよりも安全です。メールアカウントにあるワンタイムパスワードは、(1)アカウントのパスワード/秘密鍵(またはログインに必要なその他の要素)がない場合、または(2)ワンタイムパスワードが1回使用された場合、役に立たなくなります。 。
はい、長期間のパスワードを電子メールまたはSMSで送信することは悪いアドバイスです(電子メールは暗号化されていないメールサーバー間で転送されることが多く、悪意のあるシステム管理者などによって盗聴される可能性があるため)は通常、暗号化されずにデスクトップに保存されます。ただし、他の要素がないと、それ自体では役に立たないワンタイムパスワードを送信するのが一般的です。実際、他の要素を必要としない場合よりも強力です。安全でない可能性がある電子メールよりも多要素認証(例:会社 発行された物理トークン ただし、すべての銀行が個別の物理トークンをすべての顧客に発行し、ほとんどの顧客がそれらを安全に保持し、紛失しないことを期待することはおそらく不可能ですボトムライン、あなたのメールアドレスまたは電話番号に送信されたメッセージを読む能力を示すために追加の要素を必要とすることは、それを必要としないことよりも強力です(あなたの電話またはメールアドレスにのみアクセスできる人を許可することは悪い考えですが)簡単にあなたの銀行口座の完全な制御を得ることができます)。
ええ、あなたは正しいです、配送方法は安全ではありません。 OTPは静的パスワードの施行者として優れています。 TFAのように。さらに心配なのは、そのOTPの有効期限が切れていないことです。個人設定を変更または変更するための完全なアクセス権がない可能性があります。銀行のセキュリティについてもっと調査する必要があると思います。
@Sefaコメントに追加:
攻撃者は、OTPが送信されたときにそれを傍受する必要があります。私が考えることができる可能性:
- SMS暗号化されていない場合のインターセプト( https://security.stackexchange.com/a/11512/183814 を参照))
- SIMスワッピング( https://theantisocialengineer.com/2016/05/04/sim-swap-fraud-porting-your-digital-life-in-minutes/ を参照)
- 電子メールの傍受(暗号化されていない場合)
- メールアカウントの不正使用(認証情報の盗難やデータ侵害など)
攻撃者は、銀行口座の認証情報にアクセスしているときに、これらの方法のいずれかを使用する可能性があります。
OTPトークンは、送信されず、所有するデバイス(Google認証システムなどの認証アプリまたはYubiKeyなどのFIDO U2Fセキュリティキー)によって生成された場合、より安全であると見なされます