- - PR -
二重ログイン禁止について
1
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2007-02-22 17:48
お世話になります。
一つの認証情報(ユーザID/パスワード等)を 複数のPC端末(Webブラウザ等)で使用できなくする二重ログインの禁止ですが 銀行等のセキュリティの厳しいシステムで採用されているっぽいですね。 この機能の採用理由は、単にセキュリティ強化だけが目的でしょうか。 もしくは、XXX庁が定めたルールみたいなものがあるのでしょうか。 よろしくお願いします。 | ||||
|
投稿日時: 2007-02-22 23:39
2重ログイン禁止がセキュリティの強化にはならないかと思います。
例えばクレジットカードみたいに本人以外はダメみたいなケースを 無理やりWEBに適用しようとするなら理解できるんですが。 セキュリティの強化にならないというのは、 結局パスワードが漏れないと他人が多重ログインできないわけですが 例えば、本人がログアウトすれば、他人がログインできるわけです。 通信経路の暗号化を行えば、どの端末でも問題ないと思いますし。 (ブラウザのバグとか未対応とかは別の話として) | ||||
|
投稿日時: 2007-02-23 00:12
ちなみに、たとえば、イーバンク銀行で試してみましたが、Webサイトに2重ログインできましたよ(これは確認しました)。 また、他の銀行でも、Web サイトにログイン中でも、ATM でカードを使って入出金ができた(その後もWebのログイン状態は継続だった)ような気がします(これは未確認)。 -- unibon {B73D0144-CD2A-11DA-8E06-0050DA15BC86} | ||||
|
投稿日時: 2007-02-23 10:04
2重ログインを禁止するならば、
方法としては色々有りますよ。 少なくとも論理的(パスワード)と 物理的(虹彩、指紋、静脈、ICカード) とかで2因子認証をさせる様にすれば よほどの事が無い限り2重ログインは防げます。 _________________ Inspired Ambitious ISMS Assistant Auditor | ||||
|
投稿日時: 2007-02-25 18:23
以下は、推測です。
2重ログイン禁止は、プログラムにバグがあった際に、安全側に落ちることを目的とした、根本的な解決ではない一時凌ぎのソリューションだろうと思います。 長年の経験で、そうしておいたほうが無難だろう、という考えが無意識に働くのでしょう。 たとえば、キャッシュカードを10枚偽造されて、せーの、で同時に10台のATMで使われた場合や、あるいは、偽造はなくとも、Webに10個のセッションでログインされた場合を考えます。もしトランザクションを扱うプログラムにバグがあると、残高の10倍の金額が引き出されてしまう可能性があります。あらかじめ2重ログインを禁止しておけば、それを防ぐことができる可能性が高まります。 -- unibon {B73D0144-CD2A-11DA-8E06-0050DA15BC86} |
1