iidaの日記: 何を数えた「ワンタイム」なのか 3
日記 by
iida
ワンタイム・パスワードでないモノを「ワンタイム・パスワード」と呼んでワンタイム・パスワードになるなら、作る側は楽でよいかもしれんが、使わされる側はたまったもんじゃない。
「使うのは1回だから」と言いたいのだろうが、どこかからこっちに平文で送った時点でもうワンタイムなので、それをそのままオウム返しさせるときには2回目。
ワンタイム・パスワードでないモノを「ワンタイム・パスワード」と呼んでワンタイム・パスワードになるなら、作る側は楽でよいかもしれんが、使わされる側はたまったもんじゃない。
「使うのは1回だから」と言いたいのだろうが、どこかからこっちに平文で送った時点でもうワンタイムなので、それをそのままオウム返しさせるときには2回目。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
あなたが本当に心配しているのは (スコア:0)
「こっちに平文で送った時点で経路上の盗聴者に知得されるので、秘密のパスワードでなくなってしまう」ということであり、それがワンタイムかどうかは関係ないはずです
# あえて定義の話をするなら解読や解錠を以て1回(ワンタイム)だと思いますが
Re: (スコア:0)
私も「使った時点で一回」だと思うけどなぁ
送信した時点で一回っていうのは「盗聴可能経路を通った回数」なんかな
それなら秘匿回線で送って認証(もちろん秘匿回線でしょう)したら一回も使わないままになるな
それは置いておいて、HTTPSが秘匿回線だとすると、Webで登録中とかの画面は秘匿されてるわけだ
それならメール認証と組み合わせるにしても
* Web画面で「メールを送りました。そこにあるリンク先にこのパスワード〇〇〇〇を入れてください」と表示
* メーラでメールを受け取り、リンクを踏んで〇〇〇〇を入力
ならiidaさんも納得かな?
めんどうなので (スコア:0)
ワンモアタイムパスワードでええやん