それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。

りそな銀行のパスワードが12文字以下で、こいつらハッシュ化しないんじゃね?と疑問に思う

りそな銀行に口座を作った

近所のファミリーマートが潰れた。サンクスがファミマ転換で近所にファミマが4軒になり、旧サンクスが生き残り、ファミマが閉店した。ファミマのe-net が使えなくなった。半径2Kmが旧サンクスだけになった。ATM難民になった。

近所のサンクスにはBankTimeである。BankTimeはファミマ転換でe-Netになるとかとおもったら、BankTimeのATMのまま継続された。手数料無料での現金の確保が難しくなった。

仕方なくBankTimeを使うためにりそな銀行の口座を作った

BANKTIMEはダメだった。

りそな銀行の口座でも、BANKTIMEで18時以降、時間外手数料を取られる。悔しい。

これじゃ口座を開設した意味ないじゃん。平日の昼間に駅前のりそな銀行に行って、「当支店では口座を開設は住所か勤務地の付近以外の方はお断りしてます」とかいう謎の拒否にも負けず、アレコレ理屈並べて開設したのに。

りそな銀行株主優待で時間外手数料を無料にしてからが本番かな。まぁこれなら新生銀行でいいかと思ったり。

旧サンクスのファミマは当分のあいだBANKTIMEをそのまま運用するらしい(あと数年はこのまま)

りそな銀行のログインパスワードは6−12文字

りそな銀行のログインパスワードは6−12文字。最大文字数が極端に少ないので、このログインパスワードは暗号文にして保存されてシステム管理者が読める状態にあると憶測される。通常であればハッシュ化されるため最大文字数にあまりうるさくないはずだし20文字以上でも問題ないはずだ。

f:id:takuya_1st:20171224031652j:plain

しかも記号が使えない。大文字小文字数字(26+26+10=62種)である。文字数が少ないのであれば、記号は必要だろって感じある。

フリーメールアドレスはお控えください。

理解できなかった。銀行のエンジニアは20世紀で時間が止まってるのか?

スマートフォンのアドレスは「フリーなiCloudGmail」というフリーメールなのではないのか。。。むしろ今時ISPのメアドを使ってて、フリーメールという用語を理解する人がドレだけ居ると思うんだろうか。

f:id:takuya_1st:20171224032140j:plain

秘密の質問とかいう謎セキュリティ

秘密の質問とかいう謎セキュリティがあった。まぁ理解は出来るが、正答登録に憶測されにくいものと指定する割に、サンプルで書いてる質問が出身小学校は?という憶測されるものであり、ツッコミどころが満載だった。

f:id:takuya_1st:20171224032353j:plain

小学校名など、たかだか20未満の候補に限られてしまうので、パスワードに利用してはダメな典型じゃないのか?

ログインシールとかいう謎セキュリティ

これ、何の意味があるんですかね。。MITMされると意味がないし、画像のURLがどの画像を使っても同じだったらセッションハイジャックでも意味が無いと思うんですけど。画像のURLがどの画像を選んでも同じじゃ意味ないじゃん?ゆうちょ銀行の昔のWEBがこんな感じだったな。

URL同じだと無意味だよね・・・

<img id="ctl00_cphBizConf_imgFavImg" 
src="../4001/CreatImagePage.aspx?id=0"
 alt="お気に入り画像" style="border-width:0px;">

f:id:takuya_1st:20171224032540j:plain

てか、こんな無駄な努力するなら、インターネット利用の条件にSSLやEV-SSLの確認方法を紹介して理解しない限り先に進めない仕様にすれば良いんじゃないかな。

そもそも、このログインシールをいつどこでどうやって確認したら安全なのか、ユーザーに説明しないでセキュリティになるんだろうか。と疑念を感じたりした。

何考えたらこういうセキュリティになるんだろうか

メールアドレスの変更に確認メールを送信しない仕様ってのが一番理解できなかったな!

セキュリティとはソフトウェアだけで確保するものじゃない。

ユーザーへの教育や啓発が同時に必要ですよね。ソフトウェア云々じゃないよね。SSLついて教えたほうが速いよね。

そのたUIなどの雑感

画面はシンプルで分かりやすかったから良い。