パスワードを忘れた? アカウント作成
2680 story

offic は国産セキュリティの雄となるか? 8

ストーリー by kazekiri
ならないほうに賭けよう 部門より

beatak曰く、"ここ で知ったのだけど、シームレスサインオン という公開実験をやっているようです。詳しくはリンク先を見てもらうとしますが、要するにワンタイムパスワードを視覚的/感覚的(数学的?)に生成し、サーバー側はその法則を抽出して記憶する、と言うことらしいです。 技術としては こんな感じの説明文書 が上がってます。チラッと読んだ感じでは、面白いな、と思う反面、抽出法則が何処までイケてるのかとか、“1000万分の1”を“かなり安全”と表現してるところとか、特許申請中でプロプライエタリな技術になりそうな所などがアレゲですが、感覚的なパスワード生成というのは面白そうな技術ではある。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 印刷してユーザに渡しておく変換表または指定の計算方法が漏れたら終わりだが、その変換表または計算方法が固定的で変わらないとすると、通信をずっと傍受されて記録されたらその内推測されてばれちゃわないか?
    --
    (´д`;)
  • by Anonymous Coward on 2002年03月31日 19時12分 (#77036)
    はっきり言ってめんどくさすぎ。
    技術的にはおもしろいかと思うけど、ほんとになにも知らない(知ろうとしない)人達には難しすぎると思うなぁ。

    銀行のカードやクレジットカードなんかでよく使う4桁のPINですらランダムなものは覚えられなくて結局生年月日とか入れる人続出なのに。

    いくら能力が高くてもセキュリティに対する意識が低い人には、重要な情報を使わせないってことが重要なのでは?
    • by Stahl (7211) on 2002年03月31日 19時26分 (#77044)
      基本的には銀行のキャッシュカードみたいなコンシューマ用途に
      使うもんじゃないでしょ。
      安全性向上のために多重換字したりするととんでもなく手間にな
      る(汗
      重要性(機密性)の高いネットワークへのログインなんかに利用さ
      れるんじゃないかな。
      つまりそれだけ手間をかけてもセキュアであることを望む人たち
      の技術とでもいうべきか。
      親コメント
  • by Anonymous Coward on 2002年03月31日 19時24分 (#77043)
    ものを安全だと主張するなんてのはトンデモ系では?(余計な主張しなきゃいいのに)

    ここの主張 [s-provider.co.jp] によると

    かなり安全性は高いですが、「コンピュータなどで繰り返しパスワードを入力さる」というパスワード破りの方法もあります。確率的なものは、このような方法には無防備です。 そこで、OFFICでは「パスワード失敗」が一定回数以上になると、ログイン制限をする機能を持っています。たとえば、「3回パスワード入力を失敗すると1時間ログインできない」といった設定ができます。OFFICは、このような方法で安全性を確保しています。
    だそうだけど、ユーザ名の方を変えながら繰り返し試行したら、ロックされないのでは? 平均5000回の繰り返しで一個のアカウントを突破できる。 まあ、アカウントが数個しかないような用途では、その攻撃はできないが。

    特定用途には十分かもしれないが、それを万能と言ってしまうところがトンデモ系の香り。セキュリティネタで自己批判のない誇大広告は頂けない。

    • たとえば、「3回パスワード入力を失敗すると1時間ログインできない」といった設定ができます。

      用途にもよるだろうが、こういうシステムがUNIXマシンに導入されたらクラッカー共は大喜びだろう。root でわざとlogin失敗し、root が入れないようにしといてから、ゆっくりシステムに侵入する…

      親コメント
    • いや、4桁数字は、あくまでパスワード破りの例として提示されていますよ。(良い例ではないとは思いますけど。)
      「認識番号を入力して下さい。認識番号は17桁です」と言われて入力を断念したお話があったけど、8×8マスに表示された文字を「外側から右周り渦巻き順で17文字入力する」というような「抜き出し法則」がキーであったならば、認識番号を入力できて無事脱出できたかも。>お話
      暗証番号の桁が多ければより強固であるというのはなんとなく実感できるけど、抜き出し法則の場合、どういったパターンが強固なのか、いまいち実感できないなぁ。
      親コメント
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...