web-dev-qa-db-ja.com

金融機関がログインにメールではなくユーザー名を使用するのはなぜですか?

私はアプリケーションを再設計し、電子メールとユーザー名のログインオプションの使用について調査しています。私たちのアプリケーションは金融機関で動作し、このため、追加のセキュリティ対策にはユーザー名が必要であると言われています。私はこの主張を裏付ける追加情報を見つけることができず、同様の質問を検討して、このアプローチを証明または反証する情報があるかどうかを確認しました。

いくつかの銀行サイトを見て、これは金融機関の間では当たり前のように思えることに気づきました。 Paypalは例外であるようです。Eメールを使用すると、送金や組織の身元を確認する方が簡単です。

なぜほとんどの金融機関がログインに電子メールではなくユーザー名を使用するのですか?

これがより安全であるか、またはそれがユーザビリティの信頼要素であるかを示す標準はありますか?

enter image description hereenter image description hereenter image description hereenter image description here

enter image description here

ログインオプションにメールまたはメールとユーザー名を使用することを目的とする次の投稿を確認しましたが、ユーザー名が追加のセキュリティ層を提供するかどうかについては触れていません。

loginsecurityfinancial
32
Chromarush

理由はいくつかあります。

  1. 誰かが他の人のアカウントを悪意を持ってロックするのを防ぎます(私があなたの電子メールアドレスを知っていて、バークレイズで銀行取引をしている場合、私は繰り返し間違ったパスワードを試すことでアカウントからロックアウトできます)。
  2. @AlexFritzが示したように、銀行サイトの他のサイトからのハッキングされたユーザー名とパスワードの組み合わせを試すことは困難になります。
  3. 多くのアカウントで、それぞれにいくつかの一般的なパスワードを試すのが難しくなります。
  4. これにより、攻撃者が知る必要のある情報の量が増加します(基本的に、ユーザーIDは、書き留めたり記録したりすることを期待されているが、パスワードの有効な長さを拡張する少しの情報です)。
  5. メールアドレスは再利用できます。たまたま使用したメールアドレスを再割り当てして、パスワードの再設定リクエストなどを実行できるようにしたくない。

これはすべて、ユーザーが自分のユーザー名を覚えることができることに対してバランスを取る必要があります。多くのサイトには、メールアドレスにリンクされたユーザー名送信機能があります。

31
Andy Boura

私はヨーロッパで知っている銀行口座から話すことができます:オンラインバンキングアカウントを作成するには、あなたはメールも必要ありませんアドレスです。登録は通常オフラインで行われるため、Pinとすべてを郵送で受け取ることができます。

アカウントを使用するのに電子メールは必要ないため、ユーザー名として電子メールを使用しても意味がありません。

21
Martin

ここには多くの優れた点がありますが、重要な点が1つありません。メールアドレスをパスワードのリセットに使用することはできません。安全性が不十分であり、メールのサインアップを使用しないためです。これらが、ほとんどすべてのオンラインサービスに電子メールアドレスが関連付けられている2つの主な理由です。それらがなければ、代わりにユーザー名を使用しない理由はありません。

3
ctbeiser

お金がかかった地方自治体での私の経験は、ユーザー名はメールアドレス以外のレベルのセキュリティを提供するということです。

誰かがメールアドレスを個人に関連付けることができるが、ユーザー名はそのサイトに固有である可能性があるというのは、一般的に見られた意見でした。

これはかなり恣意的な測定ですが、測定です。

2
DarrylGodden

電子メールはオンラインバンキングよりも安全ではない(私はそう思います)おそらく、人々はすべてに同じパスワードを使用する傾向があるため、銀行ログインにユーザー名の代わりに電子メールを使用すると、電子メールのパスワードが漏洩した場合に脆弱性が生じると考えられます。周りを回って、その電子メールのパスワードの組み合わせをたくさん試し、おそらくそれらの少なくともいくつかにうまく入ることができます。ユーザー名を使用すると、泥棒はアカウントに入力するために必要なすべての情報を取得するためにより多くの作業を行う必要があります。したがって、これは厳密なセキュリティ対策ではありませんが、顧客にメールアドレスを使用させるよりも少し安全です。

2
ChristianCuevas

資本市場向けのアプリケーションを作成している開発者として、私はサードパーティの電子メールプロバイダーが良いものであるかどうかをチェックして、有効であることを確認したくありません。私は誰もが自分でサインアップすることを許可しません。管理者がサインアップし、ユーザー名を付与します。ログインページ自体もhttpsです。これは、すべての銀行、金融機関がセキュリティ質問票の非常に大きなリストを持っているからであり、それらにあなたが投げかけ、あなたがそれらすべてに「はい」と答えるまでに、あなたは管理者がユーザー名を作成し、httpsとSSLで大きな信頼できるプロバイダーから提供されています、管理者によるパスワードのリセット、すべてのユーザーアクション、中国の壁などの監査など...

2
TSL

セキュリティ上の理由から、金融機関は、証明されていない、または珍しいものを使用することによってリスクを負わないため、新しいテクノロジーや新しい方法を受け入れることはほとんどありません。多くのeバンキングサイトが、ログイン前に実行されており、今日のようにメールで非常に人気があります。ユーザー名/パスワードの方法は、その時代には一般的です。彼らは単に不必要なリスクを取らないだろう。ユーザー名が機能し、一般的な場合、なぜ電子メールを使用するのですか?

0
KampretLauncher