徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

銀行のオンラインバンキングサービスでは携帯キャリアのメールアドレスを必須で求められることはよくあると思いますが、セキュリティ的にどう思われますか。

キャリアが発行していてある程度信頼性があるという点もあると思います。
しかし、最近はキャリアのメールアドレスでもPCで見れるようなサービスもあるので、スマホ、携帯からしか読めないから安全という点はなくなってきているのではないかなと思います。
それにキャリアを変えるたびにメールアドレスを変えるという面倒な作業も発生します。

それなら、メールではなく電話やSMSでの認証にしたほうがよいと思うのですが...

長文失礼いたしました。

2020/07/26 19:05

質問に対して色々疑問です。
まず前提として、「携帯キャリアのメールアドレスを必須で求められることはよくある」のでしょうか。念の為自分のオンラインバンキング口座(8行)を調べましたが、「携帯電話のメールアドレス」が必須だったのはauじぶん銀行のみで、かつ、メールアドレスのドメイン名制限は2019年3月10日に撤廃されていました。まだ所謂キャリアメールアドレスが必須となると、gmailやicloudなどをスマホで使っている人はオンラインバンキングの登録ができなくなるので、そもそも現実的でないように思います。auじぶん銀行での制限撤廃のこの流れによるものと推測します。
次に、「キャリアが発行していてある程度信頼性がある」というならそれは「良いこと」で、「スマホ、携帯からしか読めないから安全という点はなくなってきているの」というのは、他の方法と比べて「セキュリティ的に劣る」内容ではありません。
「それなら、メールではなく電話やSMSでの認証」という文が唐突に出てきますが、これまで「認証」の話をしていたのでしょうか。私の使っているオンラインバンキングでは、特にメールを「認証」には使っていないです。
ということで、質問の前提条件および質問趣旨がよく理解できません。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
Webアクセスにおける常時TLSの普及はだいぶ進んでいるのに、なぜメールはいまだに平文が主流なのでしょうか?
自身で運営していないWebサイトへ無断でセキュリティ診断に準ずる行為をすることは禁じられていると思っているのですが、公にバグバウンティをやっていないサイトの脆弱性が見つかって、確証をもってIPAなどに届けられるのは何故なのでしょうか。脆弱性にもよりそうですが、SQLに干渉する文字や、スクリプトやタグ文字を意図して送ってみたり、それなりのパターンを試さないと確証には至らない気がして、不思議に感じています。たまたま見つかったりするものなのでしょうか。
HasuraのブログでJWTのベストプラクティスとして、最初JWTを短かめの有効期限設定でメモリに格納し、その後silent refreshでログイン状態の保持(refresh tokenはcookieに保存&HttpOnly)を行う、とありましたが、この手法についてはどう思われますか?
https://hasura.io/blog/best-practices-of-using-jwt-with-graphql/
YouTubeであの様な技術を無料で公開しているということは先生にとってはレベルの高くないものなのでしょうか?
YouTubeの動画がどれも分かりやすいです。動画制作にはどのようなソフトを使っているのでしょうか。