- ベストアンサー
金融機関ではパスワードは平文管理ですか?
ある証券会社でパスワードが分からなくなったため、通知の依頼をしたところ、教えて貰えました。 ただ、振り返って考えてみると、書留ではありましたが、登録したことのあるパスワードがそのまま届きました。 金融機関では、ハッキングなどセキュリティを高める目的でパスワードはハッシュで格納してあり、パスワードそのものは保存していないと思っていたのですが違うのでしょうか? 一般に金融機関ではハッシュではなく平文で保存されているのでしょうか?
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
まあ、詳しいことは内緒ってことで。 でも思い出せば数年前までは平文・可逆暗号のところも結構あった気がする。 今も同じシステムを使ってれば。。。そういうことですね
その他の回答 (5)
- lv4u
- ベストアンサー率27% (1862/6715)
>>特に、バイオメトリックなどですと、一度流出すると二度と変更ができませんし、大変なことになると思うのですけどね・・・ バイオメトリックの場合は、サーバの保存データを使うというよりも、その方の目玉をくり抜いて持っていく、指を切り落として持っていくという方向で悪用されるのではないでしょうか?もしくは、指紋を特殊素材で再現する方法もあるらしいですね。 いまのところ、その系統では、あまり心配は無いと個人的には思います。 それよりも、現実問題としては、中国のサイバー攻撃のほうが重要だと思いますね。初歩的とはいえ、DDos攻撃もそれなりに有効ですし、スピア型攻撃をされれば、もっと危ないですよね。昨年のサイバー攻撃では、攻撃元の解明に時間がかかりましたし、日本は、中国軍のサイバー攻撃に対して、全く反撃をすることができなかったようです。 まあ、自衛隊のサイバー空間での交戦規定がどうなっているのか、知りませんが・・・。 もう中国とはサイバー空間では戦争状態にあるといえますから、私としては、こっちのほうが心配です。
お礼
回答いただきありがとうございます。 静脈、指紋ですと、一度盗まれると、変更ができず、偽造技術は進歩し続けますので、一度情報を取られると、今すぐというよりも、死ぬまで不安が残る気がするのですよね・・・ サイバー攻撃については、自衛隊ではこれからハッカーを雇うという話がニュースになっていましたし、銀行については、中国ではありませんが、丁度今アメリカが大変なことになっている最中ですので、これからの指標になりそうですね。ただ、先の不可逆の暗号化であれば、仮に盗まれたとしても、その物が盗まれるのとは違いますから、他への被害は限定的だと思うのですけどね・・・
- lv4u
- ベストアンサー率27% (1862/6715)
No.2です。 >>そう言う意味の平文ではありません。 「不可逆な」という意味を含めての平文ってこと?普通は単に暗号化されていないという文を「平文」って言うと思いますが・・・。 >>普通の金融機関では、暗号担当?の担当者も分からないようになっているはずなのです。詳しくは、ハッシュ関数とかそんな感じの意味です。 別にハッシュ関数とは関連なくてもいいではず。不可逆なパスワードが生成されればいいわけですね。 まあ、会社によって、いろいろでしょうから、不可逆じゃあないパスワードを使っているところがあっても不思議ではないと思います。 ちなみに、某銀行の場合、そのあたりのロジックは、別の部門で管理されていて、他のロジックのようにソースは見せてくれなかった。
お礼
回答いただきありがとうございます。 良い用語が分かりませんでしたので、例と共に質問めさせていただきました。分かりづらい文章ですみません。 最近の流出事件を見ると、暗証番号がそのままでていったと言うことは、ありますが、その度に、一方向関数?ハッシュ関数?について聞きましたので、銀行や証券会社レベルであればどこも厳格に管理しているのかと思って質問させていただきました。 特に、バイオメトリックなどですと、一度流出すると二度と変更ができませんし、大変なことになると思うのですけどね・・・それでも、やはり、そのままの形で保存している物でしょうか?
- 山田 太郎(@testman199)
- ベストアンサー率17% (438/2463)
パスワードは不可逆ですね 設計レベルで知っているのは3社ほど
お礼
回答いただきありがとうございます。 やはり、ハッシュ保存が基本ですよね。因みに、それは全て銀行でしょうか? 実は、金融機関と言っても、証券会社でして銀行と同じように強固なセキュリティを考えていると思っていたのですが、違うのでしょうか?もしよろしければ、分かれば教えていただけると幸いです。 ちょっと前に合併してシステムも強化されたと思われる中堅どころの証券会社でこういったことがあり不安に思っています。
- lv4u
- ベストアンサー率27% (1862/6715)
>>登録したことのあるパスワードがそのまま届きました。 暗号化して保存していたパスワードを、復号して送ってくれたのではないですか? 平文では、保存していないでしょう。 そして、プログラムを使えば、元のパスワードを知ることができますよね?そうじゃあなければ、ログオン時にパスワードチェックできないですから。
お礼
回答いただきありがとうございます。 そう言う意味の平文ではありません。普通の金融機関では、暗号担当?の担当者も分からないようになっているはずなのです。詳しくは、ハッシュ関数とかそんな感じの意味です。
- 山田 太郎(@testman199)
- ベストアンサー率17% (438/2463)
まあその金融機関はずさんな情報管理ですね。。。 私が知っている限りの金融機関は暗号化してます
お礼
回答いただきありがとうございます。 回答者様は、SEでしょうか?また、ご存じの金融機関で、その暗号化というのは、可逆性のものでしょうか?それとも、ハッシュのように不可逆な物でしょうか? また、知っている限りと言うことですが、具体的に、何社程度そんな感じでしょうか?
お礼
回答いただきありがとうございます。 数年前ですか・・・金融庁など公的な機関から、ある程度指針や指導などがあり守られていると何となく強度の強いセキュリティで守られていると思っていましたが、そうでも無さそうですね・・・ 一点聞きたいのですが、証券会社と銀行ではセキュリティ強度について差はありましたでしょうか?もし、秘匿事項外でしたら教えていただければ幸いです。最近は、この二者の垣根が無くなってきており、区別の難しい銀行もいくつかあります。セキュリティの考え方について大幅な差があれば、考えたいと思っています。