ゆうちょダイレクトの合言葉でハマる

私が極力使いたくないネットバンクに、ゆうちょダイレクトがあります。ネットバンクのUIはおしなべて使いづらいものが多い印象ですが、その中でもゆうちょダイレクトは頭（お尻？）一つ抜けているのではないでしょうか。セキュリティとはとにかくわかりづらくすることだという考えなのか、それとも設計センスが壊滅的であるのか、単にシステム開発を請け負った会社の技術力が覚束ないのか、偉い役人さんの思いつきを反映した結果なのか、あるいはそのすべてなのかわかりませんが、とにかく使いづらく、一癖もふた癖もあるUIと、何かあったらすぐに書面ベースの対応には辟易とさせられます。

久しぶりのログイン

過去色々と面倒臭い思いをしたので、できれば使いたくないし、先日までは口座を開いていたことも忘れていました。が、最近いらないものをヤフーオークションでいくつか売り払うことにしまして、ヤフーオークションといえば郵便振替はメジャーな決済手段ですから、対応しないわけにもいくまいと、先日、久方ぶりにログインをしました。そのとき複数の合言葉を求められ、かなりヒヤリとしましたが、その時はなんとかクリア。で、なんとか使えることを確認したのはよかったのですが、本日ログインしようとすると、またまた合言葉を求められました。

合言葉、わからない

合言葉って、そんなしょっちゅう求められるようなものだったろうか。調べてみると、ゆうちょダイレクトでは、IPアドレスはおろか、ブラウザを変更するだけでも合言葉を求められるようだとの情報もあります。もしそうであるとすれば、このシステムを考えた人にとって、ネットはおうちで10年前に買ったWindows XPのマシンより一度もアップデートしていないInternet Explorerを立ち上げて行うものなのでしょう。

しかしまぁ、質問自体は「初めての勤務地は？」というもので、そんなものは私の人生で一つしかありませんから、なんとかなりそうだと思ったのですが…ダメでした。ひょっとして会社名だろうか、それとも県名だろうか、などとトライしたものの、ダメ。いったい過去の私はどんな不思議な回答をしたのだろうかと思いつつ、ネットでは「設定していない秘密の質問がされ、もちろん回答はないので誤答を繰り返しそのままロックされることになる」という噂がまことしやかにされていました。いくらなんでもそれはなかろうと思うのですが、こうして一つしかないだろう回答に答えられない自分を見ると、これは架空の質問なのではないのかと思いたくなりますし、またそう思わせるようなシステムの出来具合であることも事実です。真偽はわかりません。確かなことは、私はまたあの書面に必要事項を記入し、どこかにしまった届け印を引っ張りだし、郵送して一週間は待たねばゆうちょダイレクトは使えないということです。

合言葉認証はセキュリティを高めるのか

まぁ現実は現実として受け入れるしかないわけですが、それはそれとして、そもそもこのように合言葉を聞きまくることはセキュリティに貢献するのだろうかという疑問があります。第三者にパスワードが漏れた時のことを想定しているのでしょうか。合言葉なんて久しぶりに聞かれてもわからないのがたいていですから、パスワード失念時の最終手段としてならともかく、パスワード代わりの認証手段として使われるとなると、恐らくパスワードと一緒に控えるのが現実的ということになりましょう。それがパスワード管理マネージャによるのか、それとも物理的な紙のよるのかはユーザー次第ですが、いずれにせよパスワードが流出している時点で合言葉も流出していそうに思えます。あるいは、ショルダーハック対策でしょうか。しかし、こんなにしょっちゅう聞かれてしまうようでは、ショルダーハックされてしまうような人はメモをして持ち歩いてしまいそうですし、そうなると物理的にもセキュリティが向上しているとは一概には言えないように思います。あと、そもそも合言葉は意味のある質問ですので、推測できてしまいます。事実を問う質問について自分以外に推測できない回答をせよと言われると、嘘をつくか、あるいは暗号化するか…ちょっとねぇ。

セキュリティは難しい！

セキュリティを高めることは、複雑にすればよい、面倒にすればよいなどとという簡単な話ではありません。システムが複雑化すればその分エラーも生じやすくなり、それはシステム上の欠陥、すなわち脆弱性に繋がります。また、結局人間が扱うものですから、ヒューマンエラーも引き起こしやすくなります。面倒にすれば、実用上人は少しでも楽しようとするものですから、パスワードをメモして持ち歩くような、本末転倒な事態も、特にあらゆる人が使うサービスにおいては考えなくてはいけません（対策しましたという口上が欲しいのではなく、本当にセキュリティのことを考えているのであれば）。また、人にとって面倒であることと、コンピュータにとって難しいことは別の問題という面もあります。

基本的には一つのパスワードで十分だと思いますし、せいぜい未知の口座に払込や振替を行う時に何かしらの認証を求める程度が、セキュリティと利便性の落とし所ではないかと思います。実際、私がメインで使っているSMBCなどはそのようなシステムです。あれも使いやすいとまではいいませんが、少なくともネットバンクとしてはまぁ悪くないのではないかなと思っています。

ワンタイムパスワード

もっといえば、二段階認証すればよい話ではあります。ゆうちょダイレクトもすすめるワンタイムパスワードはまさにその実装です（SMBCもやってますが）。実際、合言葉の初期化程度であれば、ワンタイムパスワードを設定していれば、Web上から手続きを行えるようですから、ゆうちょダイレクトも進歩していないわけではありません（というか、ワンタイムパスワードを使うなら合言葉はいらないでしょう）。しかし、この登録アドレスとして、ウェブメールアドレスはダメということで、二の足を踏んでいました。ログイン時の情報を読み取るウイルスが確認されているから、ということなんですが（「メールによるワンタイムパスワードについて｜ゆうちょダイレクト」）、Gmailなんて今時は二段階認証も常識ですし、まぁ少なくとも物理的なトークン表示マシンを持ち歩くよりは安全ではないでしょうか（というかあれはいったいなんなんでしょう）。私はIIJを使っていますから、いわゆるキャリアメールはないんですよねぇ…もうすぐ2016年になろうというのですから、もう少し、対応していただけると、使いやすく、かつセキュリティも高まり、いいことづくめだと思うのですが、なかなかですねぇ。

手続きしないと

さて、色々と愚痴って多少スッキリしましたが、ゆうちょダイレクトがしばらく使えない現実は変わりません。落札者が振替での入金を希望すると、やや面倒です。しかし、ここまでの数件の落札は、皆Yahooかんたん決済を希望されました。聞くところによれば、9割が郵便振替だという話もあったので、意外でしたが、私が売るものといえば、使わなくなったガジェット類や技術書の類ですから、落札する人もネットやコンピュータに親しんでいる人が多いでしょう。そういう人は、ゆうちょダイレクト（というかネットバンク全般？）に辟易としている人が多そうですから、大丈夫かな。