著しい不便を押し付けるセキュリティ対策

最近、OTPトークンを発行する銀行が増えてきました。個人的には、複数の口座を持っているため、銀行ごとに発行されるのは正直、迷惑です。
家でしかネット接続しないのであれば大きな問題ではありませんが、外出時などにアクセスできることこそが、ネットを使う利便性だからです。
銀行に限らず、セキュリティという口実によって不便を押し付けるソフトウェアは非常に多くあります。質の悪いウェブデザインが使い勝手の悪さをさらに押し下げています。
なぜ使いやすくしようとせず、不便を押し付けようとする風潮なのでしょうか。

No.9 ベストアンサー 回答者： foobar 回答日時： 2014/05/20 20:08

三井住友はログインするときにもトークンを使いますね。

ま、それはおいといて、共通認証サーバみたいな方法もあります。
共通の認証システムを持っておいて、そこに「これ本人？」って問い合わせて、「本人」の確認をとるってな方法。
（類似のシステムで、オンラインショッピングでクレジットカード決済する際に、ショップのページでセキュリティコード入力するのじゃなく、カード会社に一旦飛んで、そこで暗証番号入力認証して、決済する、ってのがありますが、それともちょっと違う。）

もっとも、これも、銀行と共通認証システムとの間の通信が追加で発生する（その分、穴が出る可能性のところが増える）ので、個別にトークン使うのと比較して弱くならないかどうか、認証サーバ自体が破られたときの被害が大きい、ってのと、そういう共通システムってのがシステム側で受け入れられるかって問題が大きいかと思います。

この回答へのお礼

共通認証システムはいいですね。リスク集中が課題ということは、そこの解決を目指せば良いということでしょうし。
リスク分散化し、損害保障と上手く組み合わせれば、実用になるかもしれません。

お礼日時：2014/05/21 08:29

No.10 回答者： win8-1tab 回答日時： 2014/05/31 13:02

回答８、９とも回答内容としては同じと考えるが、なぜ８は問題ありすぎで９は実用になると考えるのだろうか。

回答８のトークン発行機もリスク集中だし、リスク集中はなぜか解決を目指せる課題であり、リスク分散として解決できてあとは損害保険もあれば充分ということであれば、回答８に関しても全く同一のことが言えると思うが。
なにか、この質問自体が何らかの思惑や意図があってなされているのだろうか。
もし思惑がないなら、なぜ、回答８の回答内容から、自宅の鍵どうこうという突拍子もない発想が生じたのか、まずその思考構造が問題ではないだろうか。

この回答への補足

共通認証サーバとワンタイムパスワード使い回しは根本的に違いますよ。
同じとするとベリサインやオープンIDは成り立たないのです。

補足日時：2014/06/01 21:44

No.8 回答者： hashcalcdevice 回答日時： 2014/05/20 12:42

専用だけど汎用に使おうと思えば使える、ワンタイムにしたければできるけど使い捨てしたくなければそのまま使ってもいい、そんなトークンを発行する、電卓みたいなものを、考えるだけ考えてこのサイトでも言ってみたことがあるっていうか散々言ったけど誰もまともに相手してくれなかった。

もう知らない。

この回答への補足

ご提案は、セキュリティ的に問題ありすぎと思いますよ。
自宅の鍵で隣の家の錠も開くということですから。

補足日時：2014/05/20 13:50

No.7 回答者： yambejp 回答日時： 2014/05/20 12:18

フールプルーフ

この回答へのお礼

その側面はわかります。ただ、わからなかったりめんどくさい人は使うなという実装なので、なんだかなあと思います。

お礼日時：2014/05/20 13:17

No.6 回答者： IDii24 回答日時： 2014/05/20 12:11

あなたと違う考えの人も多数居るんだと認識しましょう大人なんだから。

(繰り返し)
技術力ってどこにあるんでしょう。銀行システムにないなら世界中どこにも無い。それを作れるのでしょうねあなたは。すごい人だ。きっとビルゲイツよりジョブスよりお金持ちなんでしょうね。きっと世界中からオファーが来てるんでしょうねうらやましい。
素晴らしい。最高だ。すげー人だ。神様だ。あなたは宇宙人なんですね。

あれ？そんな人がこんなところで質問するかな？まあいいや俺の思い過ごしでしょう。すごいすごい。

この回答への補足

判で押したような思考停止のシステム擁護回答ですね。
つまり技術力がないのですね。ありがとうございました。

補足日時：2014/05/20 13:19

No.5 回答者： watch-lot 回答日時： 2014/05/20 11:03

トークンが必要になるのは振り込みの場合だけです。

私の知る限りはね。

で、外出先で使うのは、入金確認とか残高確認とかがもっぱらであり、振り込みなんてのは滅多にしませんから不便には感じませんね。

どうしても振り込みを外出先でしたいのであれば、１行分のトークンだけを持ち出せばいいのでは？

この回答への補足

振込はしょっちゅうはしないけど、外出してる時に限って必要になります。１行分だけ持ち出す方法はありますが、必要なお金は別の口座に入っていたりでイマイチ不便です。メールでOTPを知らせてくれる方が便利だったのですが、セキュリティ的には問題ありなのはわかります。しかし、サイトごとに共通のパスワードを使うなとか、定期的に変更しろとかって、むちゃくちゃですよ。全部メモしとくという本末転倒な対処が必要です。それを押し付ける技術力って本当にプアです。そうじゃありませんか？

補足日時：2014/05/20 13:13

No.4 回答者： TooManyBugs 回答日時： 2014/05/20 10:54

>判で押したような思考停止のシステム擁護回答ですね。

>つまり技術力がないのですね。ありがとうございました。

このような世間知らずの案本丹でも安全に使用できる様にかつ後でクレームをつけられないためですね。
本来なら金がなくなるのを承知ならば暗証番号すらいらない設定があっても良いですね。
ただ案本丹は後で文句を言うからね。

No.3 回答者： k-josui 回答日時： 2014/05/20 09:34

> セキュリティという口実

決して口実ではありません。
セキュリティが甘くなれば、ある日突然口座の残高がゼロなどという事もあり得ます。
　　　
> 銀行ごとに発行されるのは正直、迷惑です
すべて同じにしてあったら、1行セキュリティーを破られたら全部破られます。
　　　　
便利さとセキュリティーはトレードオフなのです。
究極のセキュリティーは通帳と印鑑のみの取引になりますし、これがいかに不便かは、わわかりますよね。
逆に究極の便利さはキャッシュカードのように4桁の暗証番号のみで取引できることでしょう。これがどんなに危険な事かはおわかりだと思います。

この回答への補足

判で押したような思考停止のシステム擁護回答ですね。
つまり技術力がないのですね。ありがとうございました。

補足日時：2014/05/20 10:10

No.2 回答者： ok-kaneto 回答日時： 2014/05/20 09:33

利便性とセキュリティはトレードオフの関係にあるので、セキュリティを上げれば利便性が下がるのは道理です。

セキュリティを向上させなければ良い話ですけど。

この回答への補足

判で押したような思考停止のシステム擁護回答ですね。
つまり技術力がないのですね。ありがとうございました。

補足日時：2014/05/20 10:09

No.1 回答者： IDii24 回答日時： 2014/05/20 08:55

片方では被害者がいるわけで、自分が被害にあっても同じことが言えるならですよね。

デザインの使い勝手は個人個人の趣味の問題、そもそもこれを作ったチームがこれを良いと言った時点であなたと違う考えの人も多数居るんだと認識しましょう大人なんだから。
それでも嫌なら通帳と印鑑持って窓口で手続きすれば良いです。どっちが便利で安全かそれだけですよね。

この回答への補足

判で押したような思考停止のシステム擁護回答ですね。
つまり技術力がないのですね。ありがとうございました。

補足日時：2014/05/20 10:09