27Sep2019 某銀行のネットバンク金曜日

某銀行はネットバンクのアクセスにクライアント証明を利用している。このクライアント証明は1年ほどで更新が必要で、更新にはログインが必要。うっかり更新を忘れると今度はログインしようと思ってもクラアント証明の認証でログインができなくなる。この場合、クライアント証明を復活させるには書類による復旧が必要・・・と。

ところでこのクライアント証明書はなにについてのセキュリティなのかがはっきりしない。パスワードが漏洩したら、そのパスワードを使ってクライアント証明は取得できるので、このクライアント証明は有効なパスワードがあればそれ以下の存在である。

唯一考えられるのは通信の盗聴によりセッションキーを盗まれた時。このときはおそらくクライアント証明の更新は不能だろう、しかしながらセッションの有効期限はクライアント証明の有効期限よりはるかに短い。

手順が複雑ではあるが、論理的セキュリティの壁は変わってない似非セキュリティだろうなこれは