アカウント名:
パスワード:
ワンタイムパスワードって公開鍵みたいなものを渡して認証サーバーなんてなくても機能するものだと思ってたけど違ったのか。普通に実装すればそうなるよね。RFC 6238とかだってそうだし。
しかし、広告に「ノートンなら、何もしなくてもあんしん。」とかが出てくるのはアレだな。いつものことだけど。
追記:公開鍵と言っても漏れたら総当たりできるから貰ってないって事かしら。
ワンタイムパスワードの実装方法にもよるのだろうが、一般的な RFC 6328 みたいなのは公開鍵ではなく、秘密鍵を共有鍵が漏れたら正攻法で解けるわけで、総当たりみたいな作業はいらない。銀行とかだと、鍵の保持は業者も任せたいってのはあるだろうな。
Googleやら MS、Yahoo に Facebook なんかも、RFC6328 なのだけど、漏れたら凄いことになりそうね。
typo 6328じゃなくて 6238 だ。
うん。考えてみると秘密鍵なんて概念はワンタイムパスワードには無理だった。英数数文字回すのと普通にパスワード生成するのと一応最低五千倍くらいは違うとは言え、後者ができれば前者もできる。多分実際その通り自前の鍵管理を嫌ったんだろうが、自前のサーバーから漏れたりしうるならなんだってありかる思う。専用デバイスとか配ってるならおいそれと交換できないとかは分かるが、スマホとかなら最悪QRコードを読み取らせて再設定させるだけの話なのに。
金融系で採用されていたようだから、アセスメントの内容よりも体裁が売りになる商売なのかもしれない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
シマンテックの障害で使えなくなる? (スコア:0)
ワンタイムパスワードって公開鍵みたいなものを渡して認証サーバーなんてなくても機能するものだと思ってたけど違ったのか。
普通に実装すればそうなるよね。
RFC 6238とかだってそうだし。
しかし、広告に「ノートンなら、何もしなくてもあんしん。」とかが出てくるのはアレだな。いつものことだけど。
Re:シマンテックの障害で使えなくなる? (スコア:0)
追記:公開鍵と言っても漏れたら総当たりできるから貰ってないって事かしら。
Re: (スコア:0)
ワンタイムパスワードの実装方法にもよるのだろうが、一般的な RFC 6328 みたいなのは公開鍵ではなく、秘密鍵を共有
鍵が漏れたら正攻法で解けるわけで、総当たりみたいな作業はいらない。
銀行とかだと、鍵の保持は業者も任せたいってのはあるだろうな。
Googleやら MS、Yahoo に Facebook なんかも、RFC6328 なのだけど、漏れたら凄いことになりそうね。
Re: (スコア:0)
typo 6328じゃなくて 6238 だ。
Re: (スコア:0)
うん。考えてみると秘密鍵なんて概念はワンタイムパスワードには無理だった。
英数数文字回すのと普通にパスワード生成するのと一応最低五千倍くらいは違うとは言え、後者ができれば前者もできる。
多分実際その通り自前の鍵管理を嫌ったんだろうが、自前のサーバーから漏れたりしうるならなんだってありかる思う。
専用デバイスとか配ってるならおいそれと交換できないとかは分かるが、スマホとかなら最悪QRコードを読み取らせて再設定させるだけの話なのに。
Re: (スコア:0)
金融系で採用されていたようだから、アセスメントの内容よりも体裁が売りになる商売なのかもしれない