小切手に銀行口座番号と口座名義人が露出していますか?
これがすべての銀行機関で標準的な慣行であるかどうかはわかりませんが、受け取ったほとんどすべての銀行で、発行者の口座番号がチェックされています(口座名さえも)。この情報は機密情報と見なされませんか?そうでない場合は、この質問を無視してください。
はいの場合、それはなぜ銀行が小切手で発行者の口座番号/名前を露骨に露出しているのか不思議に思いますか?彼らが発行する小切手に印刷する前に、少なくともアカウント名とアカウント番号をハッシュするのは良い習慣でしょうか?
これをもう一度試してみて、多くの優れたコメントに取り組みましょう...
小切手とは、銀行にアリスの口座からお金を受け取り、ボブにそれを渡すように指示することです。それを実行するために、銀行はアリスの口座の詳細を知る必要があります。清算のために到着したとき、小切手に何らかの形で書いておく必要があります。
アリスの小切手帳にあらかじめ印刷された小切手には、純粋に便宜上、人間と機械の両方で読み取り可能な形式で彼女の口座番号がすでに書かれています。
@IMBは最初にこれが脆弱性であるかどうかを尋ねます。これは、イブが小切手を手に入れれば、アカウントの詳細を読み取って攻撃に使用できるためです。答えははい、それは脆弱性です。
次に、@ IMBは、アカウントの詳細をハッシュすることが適切な制御になるかどうかを尋ねます。暗号化ハッシュは、ここではあまり当てはまらないかなり具体的な専門用語であるため、実際にはハッシュではなく暗号化を意味しているのではないかと思います。答えは「はい」でもあります。注意深く行うと、アカウント番号を(適切なナンスを追加して)暗号化すると、イブがアカウント情報を使用できなくなります。
最後に、@ IMBは、なぜ銀行がそれをしないのかと尋ねます。さて、すべてのセキュリティ制御と同様に、失敗の影響に対してそれを使用するコストを測定する必要があります実装するかどうかを決定するために。
主なコストは、人間が小切手全体を読み取ることができなくなったことです。最近のユビキタスコンピューティングではそれは問題に聞こえませんが、銀行は保守的で古臭く、特に人間による監査プロセスが好きです。彼らは、マネージャーが毎日ランダムに小切手を引き出し、それがどのように処理されたかを再確認できることを望んでいます。彼らは紙の物理的な部分を引き出して、それを顧客に振って「いいえ、私たちはミスをしませんでした」と言うことができるのを好みます。
追加のコストは、小切手清算プロセスにオーバーヘッドを追加すること(そして顧客は既にその時間がかかることを嫌っています)、小切手の機械で読み取り可能な部分が損傷している場合はバックアップがないため、規制上の問題が発生する可能性があると思います小切手の法的定義について。
一方、銀行には他の管理策があるため、リスクはそれほど大きくありません。彼らはお金を取り除くことを許可する前に人々を認証し、簡単にお金を引き出すには口座番号以上のものを必要とします。彼らはさまざまな技術的手法を使用して、アリスの詳細が記載されたイブが小切手を印刷するのを防ぎます。彼らは損失をカバーする保険を持っています。疑わしいトランザクションのアカウントアクティビティを監視します。
最後に考慮しなければならないことは、アリスは自分の口座の詳細をとにかく多くの人に伝えなければならないということです。雇用主(彼女に給料が支払われるため)、税務担当者、水道会社(口座振替の場合)などです。そして、彼女はそれを自分のデビットカードに埋め込む必要があります。そして、銀行はそれを彼女の明細書に印刷しなければなりません...したがって、イブはこの情報を取得する他の多くの方法を持っています。
結局、銀行はコストとリスクを比較検討し、特に小切手の使用の減少を考えると、それだけでは価値がないと結論付けました。前回、店で何かをチェックするために小切手で支払うことを試みたとき、彼らはマネージャーを取得しなければなりませんでした。
はい。 小切手にルーティングと口座番号を印刷することは、おそらく許容可能なリスクですが、いくつかのリスクを伴います :
一般的に言って、ルーティングとアカウント番号は、実際には盗難の試みが捕らえられて取り消される可能性があるため、アカウントからお金を盗むのに十分ではありません。
とはいえ、このシステムは防止ではなく抑止に依存しています。銀行口座のルーティングと口座番号を知っている誰かが、あなたの許可なしにあなたの口座からお金を引き出すことができるかもしれません。それらは捕らえられ、不正なトランザクションは取り消される可能性がありますが、これはセキュリティ上のリスクです。
この証拠として、「電子小切手」を使用して電話で支払うことを許可する販売者がいくつかいるという事実を考慮してください。これを使用したことがない場合の仕組みは次のとおりです。電話をかけ、当座預金口座の宛先コードと口座番号を伝え、支払い金額を伝えてから、基本的に「偽造された」この情報を確認し、支払いを受けます。 (承認によって行われるため、実際には偽造されていないことを理解してください。)銀行口座の明細書に電子引き出しまたは小切手支払いとして表示されます。これはどのように合法ですか?それはあなたの同意を得て行われるため、合法です。しかし、それは重要ではありません。ポイントは、これを実現するために必要な唯一の情報が宛先コードと口座番号であるということです。正直な商人がこれを行うことができれば、不正直な商人もそうすることができます。電子的かつ自動化された方法でそれを行うためのアクセス権を持つユーザーには制限がある可能性があります。あなたの許可なしにそうする人は、彼らが多くの人々にそれをし、犠牲者が彼らの銀行に不満を言うならば、おそらく捕まるでしょう。要するに、抑止は実際にはかなり効果的かもしれない。しかし、それを完全に妨げるものは何もありません。小切手をクリアするインフラストラクチャには、固有の脆弱性があります。
2番目のリスクは、当座預金口座の口座番号を知っている誰かがあなたの口座の残高を知る可能性があることです。参照してください これがどのように発生するかについての私の説明 (短いバージョン:銀行によって利用可能になり、設計上安全ではない、商人小切手検証システムの利用が含まれます)。
これらのリスクは、現在のチェックシステムに固有のものです。それについてできることはたくさんありません。 機密保持の穴を閉じることができます 、十分に気を付ければ、他のリスクを修正することはできません。
一般的な経験則として、銀行口座番号は、それを必要としない人(たとえば、あなたから支払いを受けるなど)と共有しないことがおそらく最善です。
これについては、Personal Finance and Money Stack Exchangeサイトの次の質問で詳しく説明されています。 小切手のアカウント情報を詐欺に簡単に使用できないのですか? 。また参照 誰かが私のIBANと個人の詳細を知っている場合、誰かが私の銀行口座からお金を盗むことはできますか? このサイトの誰かがあなたのルーティングとアカウントを知っている場合、あなたの口座からお金を引き出す方法の詳細な説明については数。特に Jeremy Clarkの場合 を参照してください。
答える別の方法:
アカウント番号とクレジットカード番号を確認することは、インターネット、コンピューター、自動ドラフトサービスが普及する前に発明された古い方法です。どちらの方法も、どこにでも送信できる再利用可能なパスワードを使用します。 (OK、そのアカウント番号ですが、機能します)
正しい解決策は、小切手、クレジットカード、デビットカードを、非対称暗号化を使用して、合意された金額に対してのみ機能するワンタイムパスワード/証明書を生成する(できればハンドヘルド)コンピューターに置き換えることです。
これが、Android=を支払いデバイスに変える有望である可能性があるにすることにより、カードスワイプレコーダーの問題を効果的に排除できる理由です。問題はif /いつ実装でワンタイム証明書を使用しますか?
印刷された小切手には、私が参照する1回限りの証明書が付いたQRコードなどが付いている場合があります。
カードリーダーと銀行をガソリンスタンド、小切手とクレジットカードを自動車と考えてください。まだ誰も使用していない場合、次世代をサポートすることは非常に高価です。
追伸私は銀行、金融、セキュリティの専門家ではなく、単なるプログラマーです。 :)
確かに、銀行は何らかのハッシュを実装する必要がありますが、
- 詐欺師はとにかくそれを解読する方法を理解するでしょう
- すべてのオンライン小切手スキャンビズを壊すだろう
- 基準が導入されない限り、世界中のすべての銀行手続きを破ります
- 銀行は変更したくない
詐欺師があなたの口座番号を見つけることができれば、彼らは簡単に偽のチェックを行うことができ、彼らがあなたの署名をソーシャルエンジニアリングすることができれば、それを本物として偽証する可能性が高くなります。銀行が署名を確認することさえない半分の時間は、銀行が小切手を受け取り、それがその銀行で引き落とされた場合にお金を与えるだけです。
Chequingは時代遅れになっているはずですが、銀行は詐欺を食べたがると思います。