ちょうど金融系のWebサービスの設計を行う機会がありまして、当然問題なのがセキュリティ。
クロスサイトスクリプティング、SQLインジェクション、セッションハイジャック、パラメータ改ざん…
考え出すとイヤになってきます。
◎どうやってログインするのか?
で、一番単純ながら、ややこしいところが認証(ログイン)の仕組み。
さすがに金融系サービスで、IDとパスワードだけ認証ってのはマズイですもんね。
オンラインバンクは最近は、ソフトウェアキーボード、生体認証、パスワード生成機によるワンタイムパスワードなどいろいろと頑張ってくれております。
(別にSMBCの宣伝やってるわけじゃないですが)
でもそれは、資金が潤沢にある金融機関だから可能なことであって、これからサービスを新規で立ち上げようなんてところは、そういうお金にならないセキュリティ対策の部分には、なかなかお金がまわってこない状況です。
ま、とりあえずは乱数表と組み合わせるお金のかからない旧来型の方法になるんじゃないでしょうか。
◎ユニークな認証方式
しかしちょっと調べると世の中いろいろとおもしろい認証方式がありまして…
⇒SECUREMATRI:ワンタイムパスワードを人間が認識する図形イメージと組み合わせてマトリックス型に行うものです。
⇒歩行認証」:携帯などの持ち歩かれる機器の使用権限チェックに利用。加速度センサーでで本人の歩き方のパターンを記憶して、そのパターンと照合する事によって操作者が本人かどうか特定。
⇒ゲイツ認証(笑):ロボットによる自動登録などを防ぐために人間の視覚的判断を求めるグニャッとした数字はよくあるけど、これはどれがビル・ゲイツか選択させるもの。たしかにロボットには無理。
しかし、いろいろ考えても、こういうセキュリティ対策ってのは利用者に対して「私どもはお客様の安全を守るために先進技術を取り入れてこんなに頑張っております!」っていうポーズを見せる目的の部分が大きいですよねー
そんな銀行からのメールを受け取るために、わざわざS/MIMEのメールを受信する環境づくりを行う一般消費者って少ないでしょー。
◎アナログが良さげ?
なんとなく、今後いろいろな認証方式が出てくるにあたって、もっともセキュアでプレミアムな認証方式は、どこかで人間による本人確認が入るっていう方式だと個人的に思っております。
資金移動をしようとしたら、ピザのデリバリーのごとく登録住所に銀行員がやってきて、「ほんとにいいですかー?」って聞きにくるとか(^-^;
RSS配信中…ご利用のRSSリーダーにご登録お願いします。
»»トラックバックURL⇒ http://blog.itoy.jp/security/login.html/trackback
»»RSSでこの記事のレスポンスをチェック
ホーム
先頭に移動