それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。
トップ > パスワード > input[type=password]をinput[readonly]にする邪悪なインターネット・バンキング

input[type=password]をinput[readonly]にする邪悪なインターネット・バンキング

パスワード 自動入力 bank security セキュリティ

とある銀行です。

パスワードをキーボードで入力できません

パスワードを入力しようとしたら動きません。

ソースを見てみましょう

input[type=password][readonly=readonly]

リードオンリーです。読み込み専用です。

なんでこんな事になってるんでしょうか。

どうしても、コピペを禁止したい、キーボードを信用しないようです。

コピペの禁止でパスワードを保存することを妨害してると思われます。

キーボードの禁止で、マルウェア感染時にキーボード・スニッフィングを妨害してると思われます。

どちらも非常に時代遅れだとおもわれます。

間違ったマルウェア対策

現代ではキーボード入力の横取りをするならUSBデバイスを使うでしょう。

マルウェアに感染して入力を取られてしまう懸念があるなら、そのときは通信も信用できないです。マルウェアを疑うような状況では通信内容を盗聴されてることでしょう。

いまのWindowsはだいぶ安全です。マルウェア対策であれば別の手段を検討したほうがいいとも思われます。

問題が多いソフトウェア・キーボード

この銀行が提供するソフトウェア・キーボードには、「記号」が皆無です。記号が全く存在しません。

ソフトウェアキーボードがランダムに並びません。配列が一定です。そのため、ショルダーハッキングが容易になってしまいます。

これでは、十分な場合の数を作ることができません。何を考えているのでしょうか。ソフトウェア・キーボードを使うなら記号はもちろんのこと、「絵文字」すらも候補に入れておくべきでしょう。

21世紀も四半世紀が過ぎようとしている現代に於いては、古すぎると思われます。

文字クリックもさせない?!

このソフトウェア・キーボードをよく見てください。使用説明書をよく見てほしい。

使用方法の説明を読みましょう。

使用方法の説明文

カーソルで移動しろ。

そうです、文字をクリックできないのです。何を言ってるかわからないですよね。ええ、私も全く理解ができませんでした。

矢印キーで移動して、クリックします。

矢印キーで移動して、文字へ移動してから、入力をクリックします。

Enterも使えません。ファミコン(初代)のドラクエ(初代)で名前を入力するよりも面倒なのです。

これの、どこがセキュリティなんですかね。

記号潰してるやん。

このキーボードをもう一度観察しましょう。 よく見ると、明らかに記号が抹消されています。

記号を抹消するのにdisplay nonevisibility: hidden を使えばいいのに、そうなっていません。なんですかね。これは。

記号が使えるのに「あえて記号を潰している」という設計になっているようです。

これのどこがセキュリティなんですかね。

セキュリティは「何から何を守るか」

一文字ずつ「確認して」入力する行為は、次の観点からあまり褒められたものではありません。

コピペできないことにより、パスワードを紙やメモに平文で残す必要が出てきます。これはコピペやマルウェアとは別問題を引き起こしがちです。紙に書いて読み間違えが起きないよう、使える文字数が限られてしまい、また辞書の単語が使われやすくなります。

このソフトウェアキーボードは何から何を守っているのでしょうか。すくなくとも、「安全で長く個別のパスワード」をユーザーに作ってもらうことを想定してないだろうなと思われます。

なぜなら、パスワード自動生成・自動入力がまるで機能しないのです。この設計ではパスワードは短くて簡単なものになるでしょう。であれば何から何を守るつもりだ、なんの目的でこの機能を入れているのだ。疑問が残ります。

普通に作ればいい。

アレコレ考えられるセキュリティがありますが、現代に於いては「普通に作ればよい」はずです。

MFAや2FAを用いてアプリを使うのもの一つの手段かもしれませんが、この銀行は、それ以前の課題がありますよね。仮に完璧なセキュリティを施した素晴らしいソフトウェアを導入しても、10年後には危殆化してるかもしれません。

普通に作って、毎年見直しておくほうが重要でしょう。

セキュリティ対策の基本のキとして、「リスク管理」が挙げられます。リスク管理には定期点検が必要です。作ってから10年放置してても良いソフトウェアなんてありません。オンラインバンキングならなおさらでしょう。

邪悪です

セキュリティ対策の見直しサイクル、用語で言えばセキュリティのアセスメントがうまく回ってないようなので、この銀行には近づいてはいけない気がします。

これをセキュリティ対策万全です。というのは疑問です。使い勝手の面からもこれはひどい実装です。これをセキュリティと呼ぶのであれば、相当に邪悪です。

当人たちは良かれと思って使っているのであれば、純真無垢は無罪になるのでしょうが。あまりにも世間からかけ離れすぎです。

これをネット記事に晒すことで私は事実陳列罪に問われそうですが、黙っていられなかったです。みなさんはどうですか。

追記。

スマホ用のWEBからは、普通に入力が可能だった。意図的にPCを面倒さくしてPCを排除しているのでは、と思えてしまう。やっぱり邪悪だ。