2015年5月4日月曜日

やっぱりダメだったみたいです(笑)





金融機関ご推薦の「ワンタイムパスワード」が早くもブレイクされた。
安全性にイマイチ確信が持てなかったし、なんちゃって煩わしいもんで・・・
しかし、このシステムも様々な方法があるので、脆弱性は千差万別。

決め手は・・・

ワンタイムパスワードの生成方法
ワンタイムパスワードの伝達方法

時刻同期型パスワードでないとフィシングに対して脆弱性があることは論をまたない。
つまり本質的に古いPWを使い続けるリスクと変わらないということ。

通常、ワンタイムパスワードはハードウェアトークンで伝達されると思っていたが・・・
なんとPCにメールで「お知らせ」するシステムがあるらしい(苦笑)
システムが乗っ取られているのに・・・これを「飛んで火に入る・・なんちゃら」という。
セキュリティコストをつまらんことでケチるとダメですねえ。



昔ながらの「第二暗証番号カード」システムはどうなんでしょうか?
大抵は・・・「カードの◯桁目と○桁目の番号を入力ください」って仕組みです。
これも、フィッシングウイルスが存在します。
銀行のウエッブサイトを見るに騙された人がいるんでしょうねえ・・・



やっぱり、デジタルフィシング技術に対抗するにはアナログ技術
画像認証とは、機械識別が困難という触れ込み。
アナログ的なデジタル技術です。
しかし、人海戦術で行う「画像認証破りビジネス」が結構盛んと言われていますので・・・
あるいは、画像の作り方の巧拙で脆弱性は高くなるらしいが、
あまり複雑にするとヒトザルでも識別困難になる。



最近登場したのが・・・
音声パスワードと言われるワンタイムパスワードの変形版です。
予め指定した電話番号にワンタイムの第二パスワードが音声伝達されるという仕組み。

・認証手順を複数回にするというセオリーをちゃんと守っています。
・音声というアナログな手段を使っています。
・PCの世界だけで完結させていません。
・既存のガラゲ・スマホ・宅電がハードウエアトークンになるので安上がり。

この方法は、今んところですが・・・ターミネイトされた事例はないみたい。
・・・というか認知度が低く普及が少ないのが理由かも(苦笑)
逆に一番安心できる認証システムということに(・・・差し当たり)なります。





















0 件のコメント:

コメントを投稿