03/07/22 00:08
>>233,234
もっともだけど、232はアイデア出そうって言ってんでしょ。
なにか。なんて斜に構えてないで出来得る対策考えるのが正しい道だと思いますが。
>>232
それなりに効果あると思う。
でも233の言う通り、画面キャプチャされると辛いね。
ログイン成功するごとにそのパスワードを無効化して、登録メールアドレスに
次回のパスワード表示するための画面への認証用URL書いて送るってのはどうだろ。
そのURLにはその回毎に推測困難なキーが含まれてて、その画面でIDと旧パスワードと
そのキーで認証、通ったら次のログイン用のパスワードが表示される、とか。
要は特殊なデバイスが絡まないワンタイムパスワードなんだけど。
これならID・パスワードと一緒にメールの受信環境も盗まないと成りすませないと思う。
ついでに、成りすまされた場合、逆に正規のユーザの方が使えなくなるので
早めに被害に気付けるかも。
まあ、家のマシンに仕掛けられてる場合は条件は簡単に満たされるだろうし、
ネットカフェでネットバンキングするような人はプロバイダにアカウントは持って無くて、
同じくネットカフェからのフリーのウェブメールで済ませてたりして、
やっぱりそれほど効果的な制限にはならないかもしれないけど・・・。
何より、えらい人に面倒すぎるって却下されそう。