某銀行から、インターネット・ビジネスバンキングへの「<a href="http://tsuruhara9linic.blog116.fc2.com/blog-entry-451.html" target="_blank" title="ワンタイムパスワード">ワンタイムパスワード</a>」導入の通知が届きました。
「ID・パスワード方式」とは異なり、ワンタイムパスワードは、原理的にはハッキング不可能な方式です。
何らかの方法で盗み取ったとしても、パスワードが刻々と変わるので、次に使うことができないからです。
と思っていましたが、そのワンタイムパスワードもついに破られたと、最近報じられました。その手口とは、
「パソコンをウイルスに感染させて、銀行の偽サイトに誘導し、その画面にパスワードを入力させる」
基本的にはこれだけ。そのパスワードの有効時間以内に、サクッと不正送金を行ってしまえばいいのです。
いやあ、コロンブスの卵というか、そんなに簡単な方法で、鉄壁と思っていたパスワードが破られるとは。
厳密にはパスワード自体を破ったのではなく、パスワードを入力するサイトを偽造したわけです。
では、目の前の画面が真正の銀行サイトであるのかどうか、それを絶対確実に判断する方法はあるのか。
あります。私、いい方法を思いついたのです。名づけて「相互ワンタイムパスワード方式」。
(1)ログイン後、利用者はまず、ワンタイムパスワード要求ボタンをクリック
(2)銀行がパスワードを表示し、利用者はそれを見て、その銀行サイトが真正であることを確認
(3)利用者は、その次のサイクル以降のワンタイムパスワードを使って、インターネットバンキング
ここでミソは、銀行側が表示したパスワードを、利用者が使うことはできないこと。
ね、いい方法でしょう。銀行の方にはぜひご一考を。