http://www.smbc.co.jp/news/j600034_01.htmlによると，ワンタイムパスワードを使うことにしたようですね．
ユーザが疑似乱数生成器を持っていて，1分おきにパスワード(乱数)が変化していくと言うもの．もちろん，ATM側(銀行側)にも対応する乱数生成器が(おそらく，ユーザごとに)存在して，ユーザ側とATM側の疑似乱数が一致した，あるいは，何らかの関係で対応づけられたら認証するというもののようです．
なんだか，バーナム暗号(というか，ストリーム暗号)チックでおもしろいのですが，ちょっと微妙かも．
つまり，こんな疑問が浮上するのですが，どうでしょうか．

• 疑似乱数生成器を盗まれたらどうするのか?

盗まれたらふつうのキャッシュカードと同じですよね．疑似乱数を生成するための秘密鍵(シード)がユーザの持つ疑似乱数生成器に入っているので仕方ないですが．
もちろんパスワード入力はあるでしょうから，「カードを盗まれる」「疑似乱数発生器を盗まれる」「パスワードを盗み見られる」という三つ7の条件を満たされると，アウトなのでしょう．これまでは，「カードを盗まれる」「パスワードを盗み見られる」の二つが条件でしたから，しきい値が一つあがったことになりましょうか．でも，ふつう疑似乱数生成器もカードも同じ鞄とかに入れますよね．しきい値あがってんのか，これ(笑）

ところで，個くらい疑似乱数発生器を入手すると，センターの疑似乱数発生器の秘密情報(しかもマスター情報とか)がリークする，とかないのでしょうか．それについて，証明されているのかな？？

とりあえず，今回は，乱数発生器とカードを落としたらアウトですけれど，回線盗聴や監視カメラでパスワードを盗み見るという犯罪に対しては(多少の)抑止力がありそうですね．パーフェクトではないけど，いろいろ考えてるのだな．海外では割とよくある解決法らしいですけれども．