アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
ユーザの演算能力を利用した・・・ (スコア:3, すばらしい洞察)
PCの画面には複合前のメッセージと、それを解読する計算式が表示され、 各ユーザは手帳などに安全に記録した秘密鍵を使って、筆算もしくは関数電卓(PCの電卓ソフトは不可)などで解読、コマンドを同じく暗号化してからキーボードから入力して送信。
全てのスパイウェアを原理的に排除するにはここまでやるしか無いはずです。逆に言えば、ここまでやっておけば、ネットカフェやら信用できない友人宅やらからのアクセスでも安全です。
#なので、中途半端なセキュリティキーボードやらの押しつけは止めて欲しい。
#パスワードは半分ぐらい手の動きで覚えてるので、マウスでぽちぽちやると間違えます。
Re:ユーザの演算能力を利用した・・・ (スコア:1)
MSのNGSCBなどの、所謂セキュア・コンピューティングというのは、そこまでやらなくても十分な対抗力を持つためのフレームワークと言えます。
例えば、キーボードドライバとPC本体のセキュリティチップが連携して情報を保護していれば、怪しいソフトウェアがそれを抜き出すことはもとより、ケーブルの電気信号を途中でキャプチャしても入力内容を抜き出すことは出来ないようになります。
ところで、公開鍵暗号は計算の面倒な処理なので手でやるのはとても大変ですが、それ以前に一つ問題があります。
公開鍵で暗号化するのは「パスワードそのもの」か、「そのセッションで使用するランダムなセッション鍵」のどちらかでしょうが、
・パスワードそのものの場合は、計算した結果をPC(悪いプログラムが)覚えていれば再利用できてしまう。
・PCから提供されたセッション鍵(共通鍵)の場合でも、こっそり裏でセッションを継続されていたら。
とか考える必要があります。まあ、セキュリティというのはどこか一ヶ所だけを極端に強くしても、次の「最も弱い輪」のところまでしかレベルが上がらないので、ICカード等を使ってサーバから手元までしっかり保護される仕組みを全体で考えるのが効率よいと思います。