とっても恐い証券会社のコンピュータシステムの例を3つ。それとちょっと安心できる話を一つ。
E*TRADE証券にはログインパスワードと注文パスワードの2種類ある。契約時両方のパスワードが一致しているが,別々のパスワードに設定し直すことが出来る。
これはログインしたまま席を離れても注文パスワードが知られなければ,その間に誰かが席に着いてめちゃくちゃな注文をしようとしても出来ないことになり安全性が向上するための処置と思われる。
しかーし,携帯電話用のサイトからログイン出来ないように設定しておくと,ログインした状態から携帯サイトでログイン出来るように変更が出来るのである。ログインパスワードもこのとき設定できるのである。携帯電話用は注文パスワードが無い。
あちゃー,これは拙いんでないかい?
注文パスワードを知られていなくても注文されてしまう可能性があります。肝に銘じてください。
携帯電話用サイトへログイン出来るように設定する時には注文パスワードを入力させるようにしなければマズイのではないだろうか?
誰も疑問に思わないのか?私は気になるぞ。
こういうって誰かが犯罪を犯し社会問題になるまで放っておかれるっていうのがなー。
信じられないかも知れないけど,証券会社にはインターネット取引でパスワードを数字4桁にしているところがある。
開いた口が塞がらない。
申し込み用紙に数字4桁を記入するところがあったので電話して聞いてしまった。
私:これって何ですか?
相手:パスワードです
私:こんなので危なくないのですか?
相手:3回間違えるとロックされるので大丈夫です
私:今まで何も問題なかったのですか?
相手:今まで事故はありません
私:...
手数料が安くてもこういう証券会社は使わないようにしたほうが良いと思う。何が悪いか判らない人のためにちょっとしたヒント。
10,000人の人間を電話帳から無作為に選んで電話をし,「あなたの銀行の暗証番号は1031ですね」って言ったら一人くらいは当たっても良いよね。
携帯専用と言っても案外パソコンからアクセス出来たりします。
ちなみに私が利用する証券会社は携帯専用にURLがあるのですが,パソコン経由で注文する事が出来ました。
もちろん普通にやっても出来ません。それだったらずっと以前に大問題になっているはずだから。
この証券会社は携帯サイトは暗証番号が数字だけしか設定できません。しかも以下の注意書きがある(赤字じゃん)。
数字だけで入力を行って下さい。(1文字以上10文字以内、英字・記号は入力不可)
一文字でパスワードを設定している人がいたら恐いぞー。この証券会社の携帯サイトは一度アクセスできてしまうと,注文に際して暗証番号が聞かれることは無い。
パソコン用はログインパスワードと注文パスワードが2種類あって,注文時は注文用パスワードが必要になるんだけどね。携帯用は数字だけ,しかもそれ一本。
口座番号さえ判れば...
考えただけでも恐ろしいなー。もちろん私は使えないように設定しています。
下手すると全財産失う可能性があるので心して掛かるように。
プログラマとしては「もっとちゃんと作れよ」と思ってしまいます。何時社会問題化することやら。
セッション維持用にCookie値とかHidden項目に文字列を生成し,それを顧客の識別に利用しているサイトが殆どである。
心配なのはこのセッション維持用文字列がばれたらログインしなくてもアクセスできちゃうんじゃないかということ。
ちなみに某証券会社は21文字でセッション文字列を生成しているが,そのうち13文字は同じ時間帯にアクセスすると全く同じ。但しIPアドレスの異なる別のマシンからアクセスしてみたら後ろの10文字は全く異なる値になった。アクセス元のIPアドレスを使って文字列を生成していると考えられる。ちょっと安心。
セッション維持用文字列を使って別IPアドレスのマシンからアクセスしてみた。見事失敗。ふっー,一安心。
つまりセッション維持にはセッション文字列だけでなくIPアドレスも見ているということ。偉い!
セッション維持用の文字列の生成方法がばれてもパスワードがばれなければセッションが乗っ取られることは無い。