ToyBox – トイボックス

ToyBoxは日常を綴りながらSEOやWordPress、はてはどうでもいいことまでの雑記サイトです。

*

ワンタイムトークンの危険性

   

ワンタイムトークンがあるから安全と思うな

one_time_token

ワンタイムトークンがインターネットバンキングなどの不正ログインを防ぐ為に使われるようになって久しい。
アカウント情報が盗まれたとしても、ワンタイムトークンは60秒など一定時間が経過したら使えなくなる1度きりの番号生成器だから、もし番号を覗かれたとしても、2度目は使えない仕組みだ。
が、そんなの安全性でいえば、ちょこっと危険性がなくなる程度のものであり、信頼なんてしてはいけない。

詐欺師ならどうするか

1度しか使えない仕組みだから安全、とは言っても入力ミスで2回目の番号を入力するときもあるだろう。
だが、1度目は詐欺サイトであり、そこに正しい情報を入力していたならば、詐欺師側からすれば、公式サイトにその時点でログイン成功するのである。

インターネットバンキング利用者の何割が、適切な回線で安全なブラウザで、公式サイトであることをチェックしてログインしているのであろうか。
そんな面倒なこと、ほとんどの人がしていない。
銀行の公式サイトが怪しい方が気になるぐらいだ。

ワンタイムトークンはCAPTCHAと同じ運命?

ワンタイムトークンとCAPTCHAは全く同じものではないし、機能的にも別物ではあるが、辿る運命は同じか考えてみた。

現在、様々なCAPTCHAがあり、Googleの新しいreCAPTCHAのように進化しているものはある。
勿論、旧来のCAPTCHAの本来の目的としてある「コンピュータか人間か」についての対策としては、ほぼ無効になってきている。
逆に人間が読めないものが出てくる始末だ。

GoogleのreCAPTCHAでは、「コンピュータか人間か」を判断するついでに、人間のイライラを発生させつつ機械が読めなかった文字を代わりに読んでもらうというOCRとしては画期的なことを成し遂げた。

さて、ワンタイムトークンだが、物理的に所有するものである以上は盗難に合わない限り物理的な攻撃には対処できるが、「ソフトウェア的な」攻撃にはやはり無防備であることに変わりない。
公衆無線LANに繋がった状態でネットバンキングにログインし…といった何かしらの無防備さで入力画面をハイジャックされてしまえば(方法論はここでは取り上げない)結局先に書いたように2度の入力をさせてしまうことも可能である。

今までのようなワンタイムトークンを運用しているだけでは、いずれ詐欺師に騙されてしまう。

これがあるから安全、はありえない

指紋認証があるから大丈夫。

なんて思っていても、初期の指紋認証は複製された指紋を見破ることが出来なかった。
暫くして、静脈などをみて、生きている人間かどうかの判別が加えられたが、本人の指紋かどうかの認証は出来ても、そこにいる人が本人か、また本人の意思で居るのかは判別出来ない。

怪我してしまった日には大変だ。
まぁ、なかなかないからこその認証方法ではあるが。

とはいえ、iPhoneの指紋認証が思った以上に楽なので、左右の親指を登録していたのだが、左右の親指を次々に怪我してしまったときはとても不便に感じてしまった。
パスコードを4桁ではなく、長文にしていたために余計に大変な思いをした。

ワンタイムトークンも同じで、普段は1段階面倒が増えるだけだが、それで全てが安心になる訳ではない。
当然ながら、ワンタイムトークンをなくしてしまうなどのトラブル時にも不利益を被るのは本人である。

何でも迂闊に信用してはいけない。
最後に身を守るのは自分の行動なのだから。

 - PC, インターネット, ソフトウェア, テクノロジ, 雑記, , , , , ,

ad

ad

コメントを残す

  関連記事

ベネッセなどの会社に騙されるな

ベネッセなどは何処からともなく顧客データを収集し、本人の意に関係なくDMを送りつ …

まどか☆マギカ
魔法小木 おぎか☆マドカ

この動画(音声)を義妹に見せたら笑ってた。 こういうネタは好きなんだけど、コアな …

ハピネスチャージプリキュア
Precure 10th! ハピネスチャージプリキュアのハピネス変身プリチェンミラーより気になるカード

  朝から夫婦でプリキュアについて。     新し …

人気のエコ・クリーンなものの弊害を考えてみた

エコやクリーンという言葉の裏には何かしらあります エコバッグでレジ袋有料化、とい …

no image
ヘイトスピーチ反対派は全ての増悪表現を反対しているのか?

最近、ヘイトスピーチという言葉をメディアで目にする機会が増えてきました。 でも、 …

親の観点からテレビの見せ過ぎが良くないことを考えてみた

小児科の先生や関係者、教育団体系からは子供に長時間テレビを見せると良くないといっ …

no image
ショートカット、エイリアス、シンボリックリンク、ハードリンクの違い

リンク先名称あれこれ ついついリンクとかショートカット、エイリアス、色んな表現す …

単なる雑感だけど、同じ繋がり?と思ってしまった

今のbenesseのCMを見ていると、5色のiMacを思い出す ちゃー、ちゃんち …

情報の重要性とベネッセの勘違い

ベネッセは基本からミスを犯している。 まず、多く寄せられている質問として Q. …

no image
SEOは古い。いや、SEOは既には終わった。

SEOで1位! なんて業者は信じてはいけません。 SEOでアクセスアップ云々を自 …

%d人のブロガーが「いいね」をつけました。

Fatal error: Uncaught JSMin_UnterminatedStringException: Unterminated String: '\'&replytocom=" + parseInt( comm_par, 10 ).toString();' in /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/includes/JSMin.php:148 Stack trace: #0 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/includes/JSMin.php(120): JSMin->action(1) #1 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/includes/JSMin.php(77): JSMin->min() #2 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/head-cleaner.php(1980): JSMin::minify('//<![CDATA[\nwin...') #3 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/head-cleaner.php(1124): HeadCleaner->js_minify('//<![CDATA[\nwin...') #4 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/head-cleaner.php(1094): HeadCleaner->_html_cleaner_helper('<div style="dis...') #5 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/head-cleaner.php(1308): HeadCleaner->html_cleaner('<div style="dis...') in /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/includes/JSMin.php on line 148