アカウント名:
パスワード:
jbeef先生曰く、これはただのワンタイムパスワードじゃないそうですよ。https://twitter.com/HiromitsuTakagi/status/377069802289782784 [twitter.com]
おお、ついに日本でもMan-in-the-Browser対応カード導入ですかー。三井住友銀行さすがすなあ。(Man-in-the-Browser対応のWebアプリ改修はまだ先のようですが。)
何で従来のOTPと違ってMITBを防げるのか詳しい人教えて貰えんでしょうか。
殆どのOTPドングルはボタンを押すとそのときの時刻に合わせた番号が生成表示される(あるいは常時表示されている)だけだけど、SMBCのこれはテンキーが付いている故に、チャレンジレスポンス方式をとれるから、ではないのかな(インターネットバンキングシステム側で乱数番号を表示させ、それを人間にテンキーを叩かせて、表示された番号コードをインターネットバンキング側に入力させる)
#2458122で書かれているような、例えば、「オンラインバンキングのページで入力された振込先を不二子ちゃんの銀行口座に勝手に書き換えるアドオン」がブラウザに潜んでいた場合、その方法で防止できる?
乱数だともちろんダメでしょうけど、極端な例で言えば「振込先口座の銀行コード+支店番号+口座番号」をテンキーで入力させればよい。セキュリティをもう少し緩めて利便性を高めるなら口座番号の入力のみとかでも任意の口座への振り込みはかなり防げるはず。
はい。そのような方法で、守りたい情報のPCレイヤーでの改竄を防ぐことが効果的です。ブラウザに表示される情報を元にチャレンジ&レスポンスを行っても、その信頼を乗っ取ることができるのがMan-in-the-Browserなので、#2458155 [srad.jp]の括弧内にある方法では防げません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
ただのワンタイムパスワードには興味ありません (スコア:4, 興味深い)
jbeef先生曰く、これはただのワンタイムパスワードじゃないそうですよ。
https://twitter.com/HiromitsuTakagi/status/377069802289782784 [twitter.com]
Re: (スコア:0)
何で従来のOTPと違ってMITBを防げるのか詳しい人教えて貰えんでしょうか。
Re: (スコア:0)
殆どのOTPドングルはボタンを押すとそのときの時刻に合わせた番号が生成表示される(あるいは常時表示されている)だけだけど、
SMBCのこれはテンキーが付いている故に、チャレンジレスポンス方式をとれるから、ではないのかな
(インターネットバンキングシステム側で乱数番号を表示させ、それを人間にテンキーを叩かせて、
表示された番号コードをインターネットバンキング側に入力させる)
Re: (スコア:0)
#2458122で書かれているような、例えば、
「オンラインバンキングのページで入力された振込先を不二子ちゃんの銀行口座に勝手に書き換えるアドオン」が
ブラウザに潜んでいた場合、その方法で防止できる?
Re:ただのワンタイムパスワードには興味ありません (スコア:1)
乱数だともちろんダメでしょうけど、極端な例で言えば
「振込先口座の銀行コード+支店番号+口座番号」をテンキーで入力させればよい。
セキュリティをもう少し緩めて利便性を高めるなら口座番号の入力のみとかでも
任意の口座への振り込みはかなり防げるはず。
Re: (スコア:0)
はい。そのような方法で、守りたい情報のPCレイヤーでの改竄を防ぐことが効果的です。
ブラウザに表示される情報を元にチャレンジ&レスポンスを行っても、その信頼を乗っ取ることができるのがMan-in-the-Browserなので、#2458155 [srad.jp]の括弧内にある方法では防げません。