web-dev-qa-db-ja.com

公共のwifi経由で銀行のWebサイトにログインしても安全ですか?

公共のwifi(コーヒーショップなど)を介して銀行のWebサイトにログインしても安全ですか?

ブラウザーと銀行サーバー間の接続は暗号化する必要があることに気づきましたが、他に「落とし穴」があるかどうか疑問に思いますか?

wifisnooping
10
Chris Dutrow

銀行のWebサイトがHTTPSを使用していて、URLのサーバー名が実際に予期された名前であることを忠実にチェックし、未検証または期限切れの証明書に関する警告を無視しない場合は、はい、安全です。

これらの条件が満たされない場合、いいえ、それは安全ではありません-しかし、どこからでも安全ではありません。公共のWiFiはその点で特別ではありません。

パブリックWiFiが特に安全でない可能性があるのは、パブリックWiFiがパブリックエリアで発生することです。公共エリアは見知らぬ人でいっぱいです。銀行のパスワードを入力するとき、奇妙な人々にキーボードやタブレットの画面をスパイさせたくないでしょう。この種の物理的なセキュリティは、自宅のプライバシーよりも公園やレストランで達成するのが非常に困難です。

15
Tom Leek

絶対に信頼できないWiFiを介して銀行に接続するのは間違いです(もちろん、お金がたくさんある場合)。理論的には、URLと警告をチェックすることで、MITMの影響を受けない(トラフィックが傍受されない)ことが保証されますが、たとえば同音異義語のドメイン名を利用することにより、ほとんどの場合機能するツールがあります。

例: http://www.thoughtcrime.org/software/sslstrip/

ワイヤレスデバイスが探しているBSSID(wifiステーションID)を偽造し、傍受するツールもあります。

例: http://wifipineapple.com/

追伸理論的には、理論と実践は同じです。実際には、それらは異なります。

5
Vitaly Osipov

悪い知らせ

悪いニュースは、インターネットが100%安全ではないということです。自分のホームネットワークを使用している場合でも、常にある程度のリスクがあります。もちろん、他の誰かが維持しているネットワークではリスクが高く、一般のメンバーがサインオンしてローカルネットワークを攻撃する可能性があります。たとえば、DNSキャッシュを汚染し、すべてのオンラインバンキングトラフィックをルーマニアの犯罪チームに送信する可能性があります。

レンタルコンピュータを使用している場合、リスクは特に悪いです。そのコンピュータがどこにあったのか、どんな種類のウイルスがそこにあるのかはわかりません。それはあなたのすべてのキーストロークを記録し、誰が知っているかにあなたのセッションクッキーを送るかもしれません。それは悪い知らせです。

良いニュース

米国では、銀行は損失のリスクのほとんどすべてを引き受けます。これは、FDICが保証されるための要件です。評判の悪い銀行で銀行業務をしているのでない限り、詐欺に対する責任は50ドルに制限されています。そうは言っても、失われた資金を取り戻すことは首の痛みのようなものになる可能性がありますが、最終的には合法的に行うことができます。

物事は常に変化しています

認証環境は進化しており、今後数年でさらに進化します。今日、最先端の技術は、チャレンジ質問または帯域外の2番目の要素を持つパスワードです。数年後には、パスワードなしのログイン(信じられないかもしれません)、行動認証、ソフトトークン、インテリジェントなジオロケーション、ウォレット外の認証、その他のリスク主導の対策などが見られるようになります。銀行は、システムで何が起こっているかについて互いに話し合い、複数のアカウントでポップアップするデバイスを探し(「アカウント速度」と呼ばれます)、悪意のあるパターンを検出し、それらを追跡します。したがって、環境はますます安全になります。そして再び、賭け金が上がるにつれてハッカーはますます巧妙になります。

あなたができること

自分を守るためにすべき基本的なことをいくつか示します。

  1. リンクをクリックして銀行サイトにアクセスしないでください。入力するか、自分で作成したブックマークを使用します。リンクは欺瞞的であり、銀行ではなく犯罪者のネットワークを指す可能性があります。

  2. 実際に出かける前に、ホームネットワークから少なくとも1回は銀行サイトにアクセスしてください。これにより、銀行サイトがブラウザに保持されている [〜#〜] hsts [〜#〜] リストに登録され、ハッカーが銀行のサイトを偽装することがさらに困難になります。

  3. 常に自分のデバイスを使用してください。キーロガーやその他のマルウェアが含まれている可能性があるため、共有コンピューターを使用するのはおかしいでしょう。

  4. 銀行のWebサイトにサインインしている間は、他のサイトを閲覧しないでください。メールを閲覧しないでください。不明なコンテンツにアクセスすると、バンキングサイトにリクエストを送信しようとする可能性があり、サインインしている場合、それらは 実際に通過する可能性があります です。

  5. 常にアドレスバーをチェックして、接続がhttpsおよび安全であり、正しいドメイン名が表示されていることを確認してください。銀行が EV証明書 を使用している場合、URL全体が緑色の背景で表示されます。

  6. 銀行サイトにアクセスするときは、ブラウザのセキュリティ警告を無視しないでください。

  7. 銀行の明細書を定期的に確認し、不審な取引を探してください。責任は$ 50に制限されていますが、90日以内に損失を報告する必要があります。そうしないと、権利を失います。

上記のすべてを実行する場合、パブリックネットワーク上の銀行のWebサイトにアクセスすることはかなり安全です。

2
John Wu