フィッシングサイト側が選択肢を真似できないという説明で絵柄のマッチングにしてるのはアホなのでは。
“2025年05月13日”
そもそも10^2しか選択肢のない "パスワード" はダメなのでは…/u_mid そうなんだ・・・ユーザーは百種類の絵柄をかんたん確実に弁別できるの?(100進数2桁の "パスワード" って扱いやすいの?)
ユーザーも絵柄を知らないのだから、フィッシングサイトはテキトーな絵柄を8つ提示して2つ選ばせれば機能するのでは?
不正アクセス者が認証失敗しまくって大規模口座ロック発生→取引できずに金銭損失拡大 みたいにならないんだろうか。
こっちで1passwordで管理するから余計なことせずにOTPにしてくれ
MITM攻撃するならユーザ側では二要素認証をスキップして楽天証券側には総当たりするだけなので絵柄どうこうは関係ないんだよな。この対応は総当たりの効率が悪くなっただけなので自主ロックは継続する
こういうのってロック解除申請のシステムを悪用されるとしか思えないんだよな。パスワードリセットはよくある攻撃の一つだし。
次の中から今日の三木谷会長を選べにして、3日前の三木谷やら、ホリエモンやらその辺のおっさん並べれば良いんじゃあ?
意地でもTOTPは実装したくないわーくにのリテラシー
あれだけ大規模に不正アクセスできるやつなら手あたり次第認証失敗してロックかけさせて顧客から大量にクレーム入れさせるのも簡単そう。
フィッシングした情報で本物のサイトでログイン試行して、その絵柄をフィッシングサイトで表示したらログインできるのでは?まあこれはTOTPも同じ欠点だけどね。パスキー実装しろ
しょっちゅうロックされて「なんだこれ使えねえじゃん」って顧客離れにつながってしまう可能性も…(3回だと「あれ、今打ち間違った?」「またダメだ。え、パスワード変えたっけ?」でもう後一回なので…)
不正取引を狙う者は、大量のアカウントをロックさせてでも少数のアカウントが突破できれば目的を達せられるので、この仕様はダメなのでは
マネックスはTOTP実装してるからこの辺マシだけど、規約改定時に読まないと取引させてくれない(猶予期間無し)のが面倒臭い。
いや、これ逆にDoS攻撃受けないか? 楽天証券のIDってなんだっけ? / ログインIDは英数文字が発行されて、変更不可なんだ……まぁ、それはわからんでもないが、割と推測可能なんじゃね? ロックアウト祭が起きないかな?
嫌がらせできんじゃん
アプリを使ってる人は要注意。Webでパスワード変更、アプリで指紋認証で三連続通らず、何かと思ったらパスワードが自動保存されてて、指紋認証を通過後にミス判定されてロックされた。UIの更新が間に合ってない。
ネットに転がってるID一覧拾ってきて片っ端から入力すれば無差別アカウントロック攻撃できるな
HTMLメール必須なのがちょっと抵抗感。デフォルトでHTMLメール非表示にしてるし…
ロックして回るイタズラ出ないか
なんでこんなに独自のセキュリティに拘るんだろう
意地でもMITM攻撃を許したいという執念を感じる
独自認証にそこまで拘るか。。
3回は怖いわ(ノ∀`) マイナカードも楽天もその辺を緩和する選択を用意してほしい
実際に使ってないブコメが多すぎてやはり否定したいだけの残念な集団なんだなと。10^2なわけないだろ。
根本原因対策じゃなくてあまり有効でない対策してるのではというのがタイトル読んだ感想
取引機会の逸失だ!という声が上がるだろうね、さておき、この事案はなんとかならないのかな?
気になるのは2点。3回連続の認証失敗でロックは厳しすぎな気がする(自分の勘違いで2度同じ間違った入力をする事はよくある)のと、視覚障害者向けの対策がどうなっているか。
事実上メールがセキュリティの生命線になってきてるなぁ 特に何故かTOTPを実装したがらない日本のサービス
リトライの回数に制限がなくて、10枚の絵から2枚選ぶだけだから数分で突破できて二段階認証の意味がないって騒がれて対応。仕様のレビューとかテスト段階でだれか指摘できなかったのかって感じのバグ。
もっと標準的なパスキーやTOTP使おうぜ
ロック多発しそう。
本人によらない試行で自動ロックかかって本人が使えなくなる事故が多発しそうな対策だなあ…対策が30年遅れ
ただ認証の壁をぐちゃぐちゃにしてるだけに見える。新しい壁に対応したフィッシングメールとサイトができたら終わりじゃなくて?おほほほ。昨今の大規模不正利用の手口は結局なんだったんって話が見えないと……
なんでこの道を突き進むかな。楽天のサービス全般的に認証がクソなのってユーザがアレなのでって思っているんだろうけど…もっとも楽天ビジネスログインみたいに認証にViberを使うとかはやめてくれ。
さすが楽天。全く後先考えてないところが楽天。見切り発車の殿堂。いやはやこれに付き合ってる楽天ユーザーは素晴らしいね。/ 不正アクセスは違法だけど、入らずロックさせまくるのは合法じゃないかな。
楽天は本当にダメだな...
NISA塩漬け投資は「できるだけ投資の上下を追わず、忘れているぐらいが一番いい」ので、3回ロックして失敗することであえてそれを達成させようとする楽天の粋な計らいに違いない。普通の投資してる人は知らん(辛辣)
昭和かよ!とつっこみたくなったが昭和にはインターネットはなかった。そして確かキャッシュカードの暗証番号がその仕様だ笑
わざと失敗されてロックされてる間に大損したらどうするんだよ馬鹿かこいつ
↓”10^2しか選択肢のない”ではなく、数百の絵の中から10個選択肢出てそこから2個。数百の中の10の選択肢にそもそも正解が入らない確率が高く、総当たりできない。数字4桁の認証コードのが危険。メタブで計算してみた
ロック解除はどうするんだろう。楽天の実店舗あればそこで解除とかできるけど無いので。ロック中の株売買の機会損失の訴訟とか有りそう。
DoS(的な攻撃)耐性がない。リバースブルートフォース耐性がない。気がする。/おそらくアカウントロックされる正規ユーザーが大量発生して、その対応のために簡単に便宜をはかる運用が誕生して、その穴を突いて…。
"不正アクセス者が認証失敗しまくって大規模口座ロック発生" これができる時点でID/Pass漏れてるからロックされた方がましかなあ。/"ユーザーも絵柄を知らない" ユーザーはメールで絵柄を受け取るようです。
他の証券会社も口座ロックしてるし銀行も同様なのでロック自体を批判するのはちょっと違う気も。PCI DSSにもアカウントロックの要件あるし金融系は厳しくて良いと思う。ただ3回はちょっと厳しすぎな気もしますが
口座をロックするとあるが、楽天証券では口座は楽天銀行以外も使えていたはずだと思ったけど、楽天銀行だけになったのか?地方銀行も口座指定できるのなら口座をロックする権限は楽天にはないよね?
わけわかんねーオレオレ認証を実装する前に、まず標準的なログイン認証を実装してくれや
マジで回数制限無かったんか
そもそも1/90で当たってしまうのがネックでは?100口座くらいパスワード抜けていれば、一つくらいは当たる計算。
Googleの認証システムでいいじゃん。他のところがやってないオリジナリティにこだわるのはなんでなん?
総当たりはともかく、フィッシングサイトは上から被せて中継すれば済んでしまう気がするが、まぁ偉い人がちゃんと考えてるんだろう
不正アクセスされるより口座を一時的にロックされた方が絶対いい。二要素認証ではないのでGoogle Authenticatorやセキュリティキーを使えるようにしてください。
ここまでくると「かたくなにパスキーを実装したがらない」と言いたくなる。独自にメールでコード通知するサイト全部、使う気失せる。さっさとパスキー対応して欲しい。
電話番号や生年月日などの個人情報が漏れてるとロック解除がザルという話を聞いたけど、そっちは対策されたのかな
10個の中から2つを選ぶのだから、1つ目は1/10の確率で、2つ目は1/9の確率で偶然当たる。絵柄が多いと記事で指摘しているように不正サイトに気づけるだけで、認証を突破する攻撃への耐性は絵柄の数と無関係。
中国株取引禁止しろ。また個人資産狙われるだろ
多要素認証何回もやり放題で組み合わせ数も少なかった楽天証券やっと対応か
中間者攻撃的なフィッシングサイトだとあんま解決にならないんじゃ無いかな……現状「パスキー以外認めない」が一番確実そうではある(端末側認証が緩めなのが許容されてるのが個人的に結構不安だけど)。
いや、パターン数が少なすぎるアホな認証が問題なんだから攻撃者は攻撃の数増やすだけでしょ。これだと30ユーザー試せば29ユーザーロックして1ユーザーの突破が期待出来るやんけ。
失敗せずにログインできたら楽天ポイントくれ
表示された10枚の絵から2枚の正解を選択する=順序によらない、なら 1/45 に思えるけど何か間違ってる?/ちがう、最初に表示された10枚を正解したうえで2枚選択するのか?なんだ?
これも6月から。要素認証を回避するサイトを5月いっぱい運営してる。それまでノーガードww
え、それって他人が勝手にログインしようとして失敗したら正当な持ち主も口座を使えなくなるのか?idっぽいのをランダム生成されて片っ端から試されたら、多数のとばっちりロック口座が生まれることにならない?
いや普通に登録した携帯番号に6桁番号送れよ 無駄にシステムつくるな
そこまでやらなきゃいけないほど犯罪被害が深刻なのか‥
やることがズレすぎでは??
参考までに楽天が導入してるのはどこぞのベンチャーのSuperOTPと言う製品。 https://www.bkguard.com/
短期間でできることとしてはこのくらいでは。ログイン方法を変えるとなると、実装だけじゃなくて周知と移行の時間が必要になる。それに、この結果攻撃でロックされちゃう人って、IDとパスが漏れちゃってるってことで
英語で最新のセキュリティの常識でも調べたらどうなんだ
「こちらは楽天証券です。あなたの証券口座はロックされました。解除する場合はこちらをクリック」という詐欺メールが来るんだろうな。他人の口座を実際にロックするのは簡単だし
これって知らない人の口座をロックしまくれちゃうの?
まずID・パスワードが正しく揃ってなければログイン追加認証まで進めないし、そんな情報漏らした人は口座ロックされても仕方ないでしょ。ロック解除はコールセンターに電話。
フィッシング対策ならパスキー導入しましょ
これまでロック機能がなく無限回試行できたってこと?そんでロック機能追加しても3.3%の確率で突破できるわけか。
大量不正アクセスなんて、脆弱性か、パスワードリスト漏れかどちらか。パス不明な状況で繰り返し試行してるのか、漏れたパスで入られてるかはすぐ分かるはずで、前者と言ってないので、後者だとほぼ確信してる。
絵文字OTP、フィッシングサイトが模倣されにくい(リアルタイムフィッシングには効果薄い)のでスクリプトキディングには 若干効果ある?ふーんぐらいの所感。ロックアウトの件はセキュリティの可用性を軽視では?
ポイントサイト見ると、楽天証券やSBI証券がいままでにない高還元のキャンペーンをやってる
ロックされそうだから全部売って他所に移ろう
むしろ今までやってなかったんかいってところにニュースバリューがあるんやろな “セキュリティ強化のため、認証に3回失敗すると口座をロックする。”
「図柄を使ったワンタイムパスワードをユーザーにメールで送信する形の二要素認証」TOTPでもフィッシングサイト経由でワンタイム認証が突破されることも想定してるのか。
ブコメで書かれてるけどほんとメール怖いよね。メールアカウントに不正アクセスされたらあらゆるサービスが乗っ取られそう
極めて劣悪なUXによるセキュリティの問題がユーザーに押し付けられるサービス、使ってなくて良かった。他山の石にする。
ロックされたらどうやって復元させるんだろう
今までやり放題だったからなー
多分証券口座持ってる人の中には想像を絶するITオンチのおじいちゃんとかいるから、なかなかちゃんとしたセキュリティを実装できないんだろうと想像してる。絵柄の二段階認証とかそれじゃん
証券会社がろくにセキュリティ知らなかったという事実が恐ろしいし、未だ何が悪いかわかってないのがもっと恐ろしい
馬鹿なのかな
取引パス4桁をもっと多い桁数に早く変えてくれ
まず緊急対策という感じで、一般的なOTPは開発中かもしれない。楽天銀行も後付け感が凄い独特なOTPよね。
うーむ
顧客はパソコンの先生では無い(というかお年寄が1番取りたい顧客)から、OTP生成機やパスキーを入れさせるのはハードルが高いのだろうね /ログイン試行後に証券会社が送るメールにログインURL乗せればいいのでは
口座ロックDoSが捗りそうな改悪しないで
メアド乗っ取られたことあるからなー。メアドのIDとPASS漏れてたら全スルーじゃん
銀行の認証はまともなのに証券になると途端に意味不明なのどうしてなの。2段階認証すら必須でなかったし
認証3回失敗で口座をロック──楽天証券、ログイン認証の仕様をさらに厳格化
フィッシングサイト側が選択肢を真似できないという説明で絵柄のマッチングにしてるのはアホなのでは。
“2025年05月13日”
そもそも10^2しか選択肢のない "パスワード" はダメなのでは…/u_mid そうなんだ・・・ユーザーは百種類の絵柄をかんたん確実に弁別できるの?(100進数2桁の "パスワード" って扱いやすいの?)
ユーザーも絵柄を知らないのだから、フィッシングサイトはテキトーな絵柄を8つ提示して2つ選ばせれば機能するのでは?
不正アクセス者が認証失敗しまくって大規模口座ロック発生→取引できずに金銭損失拡大 みたいにならないんだろうか。
こっちで1passwordで管理するから余計なことせずにOTPにしてくれ
MITM攻撃するならユーザ側では二要素認証をスキップして楽天証券側には総当たりするだけなので絵柄どうこうは関係ないんだよな。この対応は総当たりの効率が悪くなっただけなので自主ロックは継続する
こういうのってロック解除申請のシステムを悪用されるとしか思えないんだよな。パスワードリセットはよくある攻撃の一つだし。
次の中から今日の三木谷会長を選べにして、3日前の三木谷やら、ホリエモンやらその辺のおっさん並べれば良いんじゃあ?
意地でもTOTPは実装したくないわーくにのリテラシー
あれだけ大規模に不正アクセスできるやつなら手あたり次第認証失敗してロックかけさせて顧客から大量にクレーム入れさせるのも簡単そう。
フィッシングした情報で本物のサイトでログイン試行して、その絵柄をフィッシングサイトで表示したらログインできるのでは?まあこれはTOTPも同じ欠点だけどね。パスキー実装しろ
しょっちゅうロックされて「なんだこれ使えねえじゃん」って顧客離れにつながってしまう可能性も…(3回だと「あれ、今打ち間違った?」「またダメだ。え、パスワード変えたっけ?」でもう後一回なので…)
不正取引を狙う者は、大量のアカウントをロックさせてでも少数のアカウントが突破できれば目的を達せられるので、この仕様はダメなのでは
マネックスはTOTP実装してるからこの辺マシだけど、規約改定時に読まないと取引させてくれない(猶予期間無し)のが面倒臭い。
いや、これ逆にDoS攻撃受けないか? 楽天証券のIDってなんだっけ? / ログインIDは英数文字が発行されて、変更不可なんだ……まぁ、それはわからんでもないが、割と推測可能なんじゃね? ロックアウト祭が起きないかな?
嫌がらせできんじゃん
アプリを使ってる人は要注意。Webでパスワード変更、アプリで指紋認証で三連続通らず、何かと思ったらパスワードが自動保存されてて、指紋認証を通過後にミス判定されてロックされた。UIの更新が間に合ってない。
ネットに転がってるID一覧拾ってきて片っ端から入力すれば無差別アカウントロック攻撃できるな
HTMLメール必須なのがちょっと抵抗感。デフォルトでHTMLメール非表示にしてるし…
ロックして回るイタズラ出ないか
なんでこんなに独自のセキュリティに拘るんだろう
意地でもMITM攻撃を許したいという執念を感じる
独自認証にそこまで拘るか。。
3回は怖いわ(ノ∀`) マイナカードも楽天もその辺を緩和する選択を用意してほしい
実際に使ってないブコメが多すぎてやはり否定したいだけの残念な集団なんだなと。10^2なわけないだろ。
根本原因対策じゃなくてあまり有効でない対策してるのではというのがタイトル読んだ感想
取引機会の逸失だ!という声が上がるだろうね、さておき、この事案はなんとかならないのかな?
気になるのは2点。3回連続の認証失敗でロックは厳しすぎな気がする(自分の勘違いで2度同じ間違った入力をする事はよくある)のと、視覚障害者向けの対策がどうなっているか。
事実上メールがセキュリティの生命線になってきてるなぁ 特に何故かTOTPを実装したがらない日本のサービス
リトライの回数に制限がなくて、10枚の絵から2枚選ぶだけだから数分で突破できて二段階認証の意味がないって騒がれて対応。仕様のレビューとかテスト段階でだれか指摘できなかったのかって感じのバグ。
もっと標準的なパスキーやTOTP使おうぜ
ロック多発しそう。
本人によらない試行で自動ロックかかって本人が使えなくなる事故が多発しそうな対策だなあ…対策が30年遅れ
ただ認証の壁をぐちゃぐちゃにしてるだけに見える。新しい壁に対応したフィッシングメールとサイトができたら終わりじゃなくて?おほほほ。昨今の大規模不正利用の手口は結局なんだったんって話が見えないと……
なんでこの道を突き進むかな。楽天のサービス全般的に認証がクソなのってユーザがアレなのでって思っているんだろうけど…もっとも楽天ビジネスログインみたいに認証にViberを使うとかはやめてくれ。
さすが楽天。全く後先考えてないところが楽天。見切り発車の殿堂。いやはやこれに付き合ってる楽天ユーザーは素晴らしいね。/ 不正アクセスは違法だけど、入らずロックさせまくるのは合法じゃないかな。
楽天は本当にダメだな...
NISA塩漬け投資は「できるだけ投資の上下を追わず、忘れているぐらいが一番いい」ので、3回ロックして失敗することであえてそれを達成させようとする楽天の粋な計らいに違いない。普通の投資してる人は知らん(辛辣)
昭和かよ!とつっこみたくなったが昭和にはインターネットはなかった。そして確かキャッシュカードの暗証番号がその仕様だ笑
わざと失敗されてロックされてる間に大損したらどうするんだよ馬鹿かこいつ
↓”10^2しか選択肢のない”ではなく、数百の絵の中から10個選択肢出てそこから2個。数百の中の10の選択肢にそもそも正解が入らない確率が高く、総当たりできない。数字4桁の認証コードのが危険。メタブで計算してみた
ロック解除はどうするんだろう。楽天の実店舗あればそこで解除とかできるけど無いので。ロック中の株売買の機会損失の訴訟とか有りそう。
DoS(的な攻撃)耐性がない。リバースブルートフォース耐性がない。気がする。/おそらくアカウントロックされる正規ユーザーが大量発生して、その対応のために簡単に便宜をはかる運用が誕生して、その穴を突いて…。
"不正アクセス者が認証失敗しまくって大規模口座ロック発生" これができる時点でID/Pass漏れてるからロックされた方がましかなあ。/"ユーザーも絵柄を知らない" ユーザーはメールで絵柄を受け取るようです。
他の証券会社も口座ロックしてるし銀行も同様なのでロック自体を批判するのはちょっと違う気も。PCI DSSにもアカウントロックの要件あるし金融系は厳しくて良いと思う。ただ3回はちょっと厳しすぎな気もしますが
口座をロックするとあるが、楽天証券では口座は楽天銀行以外も使えていたはずだと思ったけど、楽天銀行だけになったのか?地方銀行も口座指定できるのなら口座をロックする権限は楽天にはないよね?
わけわかんねーオレオレ認証を実装する前に、まず標準的なログイン認証を実装してくれや
マジで回数制限無かったんか
そもそも1/90で当たってしまうのがネックでは?100口座くらいパスワード抜けていれば、一つくらいは当たる計算。
Googleの認証システムでいいじゃん。他のところがやってないオリジナリティにこだわるのはなんでなん?
総当たりはともかく、フィッシングサイトは上から被せて中継すれば済んでしまう気がするが、まぁ偉い人がちゃんと考えてるんだろう
不正アクセスされるより口座を一時的にロックされた方が絶対いい。二要素認証ではないのでGoogle Authenticatorやセキュリティキーを使えるようにしてください。
ここまでくると「かたくなにパスキーを実装したがらない」と言いたくなる。独自にメールでコード通知するサイト全部、使う気失せる。さっさとパスキー対応して欲しい。
電話番号や生年月日などの個人情報が漏れてるとロック解除がザルという話を聞いたけど、そっちは対策されたのかな
10個の中から2つを選ぶのだから、1つ目は1/10の確率で、2つ目は1/9の確率で偶然当たる。絵柄が多いと記事で指摘しているように不正サイトに気づけるだけで、認証を突破する攻撃への耐性は絵柄の数と無関係。
中国株取引禁止しろ。また個人資産狙われるだろ
多要素認証何回もやり放題で組み合わせ数も少なかった楽天証券やっと対応か
中間者攻撃的なフィッシングサイトだとあんま解決にならないんじゃ無いかな……現状「パスキー以外認めない」が一番確実そうではある(端末側認証が緩めなのが許容されてるのが個人的に結構不安だけど)。
いや、パターン数が少なすぎるアホな認証が問題なんだから攻撃者は攻撃の数増やすだけでしょ。これだと30ユーザー試せば29ユーザーロックして1ユーザーの突破が期待出来るやんけ。
失敗せずにログインできたら楽天ポイントくれ
表示された10枚の絵から2枚の正解を選択する=順序によらない、なら 1/45 に思えるけど何か間違ってる?/ちがう、最初に表示された10枚を正解したうえで2枚選択するのか?なんだ?
これも6月から。要素認証を回避するサイトを5月いっぱい運営してる。それまでノーガードww
え、それって他人が勝手にログインしようとして失敗したら正当な持ち主も口座を使えなくなるのか?idっぽいのをランダム生成されて片っ端から試されたら、多数のとばっちりロック口座が生まれることにならない?
いや普通に登録した携帯番号に6桁番号送れよ 無駄にシステムつくるな
そこまでやらなきゃいけないほど犯罪被害が深刻なのか‥
やることがズレすぎでは??
参考までに楽天が導入してるのはどこぞのベンチャーのSuperOTPと言う製品。 https://www.bkguard.com/
短期間でできることとしてはこのくらいでは。ログイン方法を変えるとなると、実装だけじゃなくて周知と移行の時間が必要になる。それに、この結果攻撃でロックされちゃう人って、IDとパスが漏れちゃってるってことで
英語で最新のセキュリティの常識でも調べたらどうなんだ
「こちらは楽天証券です。あなたの証券口座はロックされました。解除する場合はこちらをクリック」という詐欺メールが来るんだろうな。他人の口座を実際にロックするのは簡単だし
これって知らない人の口座をロックしまくれちゃうの?
まずID・パスワードが正しく揃ってなければログイン追加認証まで進めないし、そんな情報漏らした人は口座ロックされても仕方ないでしょ。ロック解除はコールセンターに電話。
フィッシング対策ならパスキー導入しましょ
これまでロック機能がなく無限回試行できたってこと?そんでロック機能追加しても3.3%の確率で突破できるわけか。
大量不正アクセスなんて、脆弱性か、パスワードリスト漏れかどちらか。パス不明な状況で繰り返し試行してるのか、漏れたパスで入られてるかはすぐ分かるはずで、前者と言ってないので、後者だとほぼ確信してる。
絵文字OTP、フィッシングサイトが模倣されにくい(リアルタイムフィッシングには効果薄い)のでスクリプトキディングには 若干効果ある?ふーんぐらいの所感。ロックアウトの件はセキュリティの可用性を軽視では?
ポイントサイト見ると、楽天証券やSBI証券がいままでにない高還元のキャンペーンをやってる
ロックされそうだから全部売って他所に移ろう
むしろ今までやってなかったんかいってところにニュースバリューがあるんやろな “セキュリティ強化のため、認証に3回失敗すると口座をロックする。”
「図柄を使ったワンタイムパスワードをユーザーにメールで送信する形の二要素認証」TOTPでもフィッシングサイト経由でワンタイム認証が突破されることも想定してるのか。
ブコメで書かれてるけどほんとメール怖いよね。メールアカウントに不正アクセスされたらあらゆるサービスが乗っ取られそう
極めて劣悪なUXによるセキュリティの問題がユーザーに押し付けられるサービス、使ってなくて良かった。他山の石にする。
ロックされたらどうやって復元させるんだろう
今までやり放題だったからなー
多分証券口座持ってる人の中には想像を絶するITオンチのおじいちゃんとかいるから、なかなかちゃんとしたセキュリティを実装できないんだろうと想像してる。絵柄の二段階認証とかそれじゃん
証券会社がろくにセキュリティ知らなかったという事実が恐ろしいし、未だ何が悪いかわかってないのがもっと恐ろしい
馬鹿なのかな
取引パス4桁をもっと多い桁数に早く変えてくれ
まず緊急対策という感じで、一般的なOTPは開発中かもしれない。楽天銀行も後付け感が凄い独特なOTPよね。
うーむ
顧客はパソコンの先生では無い(というかお年寄が1番取りたい顧客)から、OTP生成機やパスキーを入れさせるのはハードルが高いのだろうね /ログイン試行後に証券会社が送るメールにログインURL乗せればいいのでは
口座ロックDoSが捗りそうな改悪しないで
メアド乗っ取られたことあるからなー。メアドのIDとPASS漏れてたら全スルーじゃん
銀行の認証はまともなのに証券になると途端に意味不明なのどうしてなの。2段階認証すら必須でなかったし