アカウント名:
パスワード:
jbeef先生曰く、これはただのワンタイムパスワードじゃないそうですよ。https://twitter.com/HiromitsuTakagi/status/377069802289782784 [twitter.com]
おお、ついに日本でもMan-in-the-Browser対応カード導入ですかー。三井住友銀行さすがすなあ。(Man-in-the-Browser対応のWebアプリ改修はまだ先のようですが。)
詳細が出てこないので断言はできないけれど、ニュースリリースにある「中間者攻撃と呼ばれる高度な不正取引も防止可能です」という点が、恐らくは(正確には中間者攻撃ではなくて)MITB対策を指しているってことだろうね。
ワンタイムパスワードではそのトランザクションをPCで改ざんするMITBは防げない、という点が近年問題になっていたけれど、(OTPと振込先のセット情報を、ブラウザで振込先だけ情報を改ざんして渡す、なんてやられると防御できない)それへの対応を視野に入れたデバイスの普及を進めたという点での評価かと。
時刻同期のOTPだけじゃなくチャレンジ=レスポンスに対応可能なのでトランザクションの改ざんを防ぐことが出来るということかな?
何で従来のOTPと違ってMITBを防げるのか詳しい人教えて貰えんでしょうか。
具体的な実装方法は分からないので、単純に「パスワードカードでMITBを防ぐ一例」という話。
このパスワードカードだと情報を暗号化させることが可能なので、例えば振込情報を入力するときに「どの口座に」「おいくら万円」といった、安全に扱いたい情報をパスワードカードに入力して暗号化させる。そしてその暗号化した情報を入力する、という方法にすると、PCでは情報を改ざんできなくなる。
殆どのOTPドングルはボタンを押すとそのときの時刻に合わせた番号が生成表示される(あるいは常時表示されている)だけだけど、SMBCのこれはテンキーが付いている故に、チャレンジレスポンス方式をとれるから、ではないのかな(インターネットバンキングシステム側で乱数番号を表示させ、それを人間にテンキーを叩かせて、表示された番号コードをインターネットバンキング側に入力させる)
#2458122で書かれているような、例えば、「オンラインバンキングのページで入力された振込先を不二子ちゃんの銀行口座に勝手に書き換えるアドオン」がブラウザに潜んでいた場合、その方法で防止できる?
乱数だともちろんダメでしょうけど、極端な例で言えば「振込先口座の銀行コード+支店番号+口座番号」をテンキーで入力させればよい。セキュリティをもう少し緩めて利便性を高めるなら口座番号の入力のみとかでも任意の口座への振り込みはかなり防げるはず。
はい。そのような方法で、守りたい情報のPCレイヤーでの改竄を防ぐことが効果的です。ブラウザに表示される情報を元にチャレンジ&レスポンスを行っても、その信頼を乗っ取ることができるのがMan-in-the-Browserなので、#2458155 [srad.jp]の括弧内にある方法では防げません。
5,000円くらいならいいですか?
> Man-in-the-Browser
ブラウザの中の人か
プラグイン等の悪意有るブラウザの中の人が動的にHTML改竄する事態に対処する仕組みと考えたらであってるかと。
あれ?職場変わったからblogやめたと思っていたのにtwitterは続けていたのか?>jbeef先生
どういう基準だ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
ただのワンタイムパスワードには興味ありません (スコア:4, 興味深い)
jbeef先生曰く、これはただのワンタイムパスワードじゃないそうですよ。
https://twitter.com/HiromitsuTakagi/status/377069802289782784 [twitter.com]
Re:ただのワンタイムパスワードには興味ありません (スコア:1, 参考になる)
詳細が出てこないので断言はできないけれど、
ニュースリリースにある「中間者攻撃と呼ばれる高度な不正取引も防止可能です」という点が、
恐らくは(正確には中間者攻撃ではなくて)MITB対策を指しているってことだろうね。
ワンタイムパスワードではそのトランザクションをPCで改ざんするMITBは防げない、という点が近年問題になっていたけれど、
(OTPと振込先のセット情報を、ブラウザで振込先だけ情報を改ざんして渡す、なんてやられると防御できない)
それへの対応を視野に入れたデバイスの普及を進めたという点での評価かと。
Re: (スコア:0)
時刻同期のOTPだけじゃなくチャレンジ=レスポンスに対応可能なので
トランザクションの改ざんを防ぐことが出来るということかな?
Re: (スコア:0)
何で従来のOTPと違ってMITBを防げるのか詳しい人教えて貰えんでしょうか。
Re:ただのワンタイムパスワードには興味ありません (スコア:1)
具体的な実装方法は分からないので、単純に「パスワードカードでMITBを防ぐ一例」という話。
このパスワードカードだと情報を暗号化させることが可能なので、
例えば振込情報を入力するときに「どの口座に」「おいくら万円」といった、
安全に扱いたい情報をパスワードカードに入力して暗号化させる。
そしてその暗号化した情報を入力する、という方法にすると、PCでは情報を改ざんできなくなる。
Re: (スコア:0)
殆どのOTPドングルはボタンを押すとそのときの時刻に合わせた番号が生成表示される(あるいは常時表示されている)だけだけど、
SMBCのこれはテンキーが付いている故に、チャレンジレスポンス方式をとれるから、ではないのかな
(インターネットバンキングシステム側で乱数番号を表示させ、それを人間にテンキーを叩かせて、
表示された番号コードをインターネットバンキング側に入力させる)
Re: (スコア:0)
#2458122で書かれているような、例えば、
「オンラインバンキングのページで入力された振込先を不二子ちゃんの銀行口座に勝手に書き換えるアドオン」が
ブラウザに潜んでいた場合、その方法で防止できる?
Re:ただのワンタイムパスワードには興味ありません (スコア:1)
乱数だともちろんダメでしょうけど、極端な例で言えば
「振込先口座の銀行コード+支店番号+口座番号」をテンキーで入力させればよい。
セキュリティをもう少し緩めて利便性を高めるなら口座番号の入力のみとかでも
任意の口座への振り込みはかなり防げるはず。
Re: (スコア:0)
はい。そのような方法で、守りたい情報のPCレイヤーでの改竄を防ぐことが効果的です。
ブラウザに表示される情報を元にチャレンジ&レスポンスを行っても、その信頼を乗っ取ることができるのがMan-in-the-Browserなので、#2458155 [srad.jp]の括弧内にある方法では防げません。
Re: (スコア:0)
5,000円くらいならいいですか?
Re: (スコア:0)
> Man-in-the-Browser
ブラウザの中の人か
Re: (スコア:0)
プラグイン等の悪意有るブラウザの中の人が動的にHTML改竄する事態に対処する仕組みと考えたらであってるかと。
Re: (スコア:0)
あれ?職場変わったからblogやめたと思っていたのに
twitterは続けていたのか?>jbeef先生
どういう基準だ
Re:ただのワンタイムパスワードには興味ありません (スコア:2)
そのため専用だったブログは休止
専用ではないTwitterは維持
ってだけじゃないの