りそなダイレクト Type Blue [resonabank.co.jp]の認証方式は、チャレンジ&レスポンス認証方式の一種で、ご利用カード [resonabank.co.jp]に記載された「あ~と」までの20の乱数表の数字のうち、サーバ側から要求された任意の2つのチャレンジコードに対応する乱数を入力して認証する方式で、一部ではマトリックス暗証方式と呼ばれることもあるようです。無論、ここでいうマトリックス暗証方式や、チャレンジ&レスポンス認証方式といった用語は、OSに実装されたユーザー認証方式と概念は似ていますが、実装は異なります
りそな (スコア:0)
近々マトリックス認証も廃止するみたいです。
安価で比較的セキュアな手法だと思うのですが、なぜ今になってTypeRedに後退するのか不思議です。
Re:りそな (スコア:3, 参考になる)
例えばNEC システム建設のSECURE MATRIX [nesic.co.jp]のページに出ている例では、2回の認証の内1桁目は7と4ですが、1つ目のマトリックスで7、2つ目のマトリックスで4となるのは左上しかありません。同様に2, 5, 7桁目は1通りに確定しますし、その他の桁も2, 3通りに絞れます。結局全体として24通りにまで絞ることができてしまいます。
もちろん
Re:りそな (スコア:1)
チャレンジ&レスポンス認証に関しては、高木先生が2年ほど前に指摘 [hatena.ne.jp]されていますが、原則的に乱数表から採番可能な乱数の組み合わせの数、例えばりそなTypeblueの場合だと20の乱数表から2個の組み合わ
Re:りそな (スコア:1)
パスワードには、サイトごとに異なるパスワードを覚えきれないという問題もあって、複数のサイトで同じパスワードを使いまわすとか、一度設定したらほとんど変更しないとか、安全とはいえない使い方がされている場合も多いのではないかと思います。自分もその一人ですが。
某銀行でパスワード変更を要求されたので変更したら、結局思い出せなくなって、その後使わなく (使えなく) なったということもあったりします。パスワードを安全に管理するのは難しいですね。