アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
ナマケモノ、じゃなかった (スコア:3, すばらしい洞察)
傍受したパスワードを有効期間中にすかさず使用すると破られてしまうのですが、これは既知の脆弱性なのでしょうか^^;
あと、プレスリリースではRSA SecurID 700を採用とも書いてありますが、入力するパス桁数が6桁と図解されており、RSA SecurID 200やRSA SecurID 520にならないのかなぁ?という気がするんですけど、どうなんですかね?
#無料でトークン配るとは思えないのだけど「いくらかかる」が書いてないのはナゼ??
#無料なら、みずほから乗り換えたいな
Re:ナマケモノ、じゃなかった (スコア:0)
>と破られてしまうのですが、これは既知の脆弱性なのでしょうか^^;
傍受してから60秒以内かつ傍受された人よりも早く
入力して初めて「破られる」。
可能性は0では無いのですが先取りした時点で正規者には
入力しようとしてたパスワードが無効となってしまうので
タイムアウトか傍受されているかのどちらかとわかる。
早めの察知・対処ができるのがせめてもの言い訳となるでしょうか。
トークンの有効期限は60秒ではありません。 (スコア:1, 興味深い)
電波時計と言うソリューションは今後あり得るなぁ
#絶対AC
Re:トークンの有効期限は60秒ではありません。 (スコア:4, 参考になる)
そのため、サーバ側は 60秒よりも少し余裕を持って、前後のOTPとの突き合わせをしているようです。
また、トークンと認証サーバの同期ずれが広がった場合は、認証サーバが再認証を要求します。
(認証サーバの要求をアプリケーションがどう処理するかは実装依存)
利用者は入力したOTPが変わるまで待ち(最長1分)、新しいOTPを入力することになります。
二回目のPIN、OTPが正しければ、サーバ側でトークンとの時間のずれを調整するようです。
---
(RSAの中の人ではないので調整方法は予想で書いてます)
Re:トークンの有効期限は60秒ではありません。 (スコア:0)
Re:トークンの有効期限は60秒ではありません。 (スコア:0)