ToyBox – トイボックス

ToyBoxは日常を綴りながらSEOやWordPress、はてはどうでもいいことまでの雑記サイトです。

*

ワンタイムトークンの危険性

   

ワンタイムトークンがあるから安全と思うな

one_time_token

ワンタイムトークンがインターネットバンキングなどの不正ログインを防ぐ為に使われるようになって久しい。
アカウント情報が盗まれたとしても、ワンタイムトークンは60秒など一定時間が経過したら使えなくなる1度きりの番号生成器だから、もし番号を覗かれたとしても、2度目は使えない仕組みだ。
が、そんなの安全性でいえば、ちょこっと危険性がなくなる程度のものであり、信頼なんてしてはいけない。

詐欺師ならどうするか

1度しか使えない仕組みだから安全、とは言っても入力ミスで2回目の番号を入力するときもあるだろう。
だが、1度目は詐欺サイトであり、そこに正しい情報を入力していたならば、詐欺師側からすれば、公式サイトにその時点でログイン成功するのである。

インターネットバンキング利用者の何割が、適切な回線で安全なブラウザで、公式サイトであることをチェックしてログインしているのであろうか。
そんな面倒なこと、ほとんどの人がしていない。
銀行の公式サイトが怪しい方が気になるぐらいだ。

ワンタイムトークンはCAPTCHAと同じ運命?

ワンタイムトークンとCAPTCHAは全く同じものではないし、機能的にも別物ではあるが、辿る運命は同じか考えてみた。

現在、様々なCAPTCHAがあり、Googleの新しいreCAPTCHAのように進化しているものはある。
勿論、旧来のCAPTCHAの本来の目的としてある「コンピュータか人間か」についての対策としては、ほぼ無効になってきている。
逆に人間が読めないものが出てくる始末だ。

GoogleのreCAPTCHAでは、「コンピュータか人間か」を判断するついでに、人間のイライラを発生させつつ機械が読めなかった文字を代わりに読んでもらうというOCRとしては画期的なことを成し遂げた。

さて、ワンタイムトークンだが、物理的に所有するものである以上は盗難に合わない限り物理的な攻撃には対処できるが、「ソフトウェア的な」攻撃にはやはり無防備であることに変わりない。
公衆無線LANに繋がった状態でネットバンキングにログインし…といった何かしらの無防備さで入力画面をハイジャックされてしまえば(方法論はここでは取り上げない)結局先に書いたように2度の入力をさせてしまうことも可能である。

今までのようなワンタイムトークンを運用しているだけでは、いずれ詐欺師に騙されてしまう。

これがあるから安全、はありえない

指紋認証があるから大丈夫。

なんて思っていても、初期の指紋認証は複製された指紋を見破ることが出来なかった。
暫くして、静脈などをみて、生きている人間かどうかの判別が加えられたが、本人の指紋かどうかの認証は出来ても、そこにいる人が本人か、また本人の意思で居るのかは判別出来ない。

怪我してしまった日には大変だ。
まぁ、なかなかないからこその認証方法ではあるが。

とはいえ、iPhoneの指紋認証が思った以上に楽なので、左右の親指を登録していたのだが、左右の親指を次々に怪我してしまったときはとても不便に感じてしまった。
パスコードを4桁ではなく、長文にしていたために余計に大変な思いをした。

ワンタイムトークンも同じで、普段は1段階面倒が増えるだけだが、それで全てが安心になる訳ではない。
当然ながら、ワンタイムトークンをなくしてしまうなどのトラブル時にも不利益を被るのは本人である。

何でも迂闊に信用してはいけない。
最後に身を守るのは自分の行動なのだから。

 - PC, インターネット, ソフトウェア, テクノロジ, 雑記, , , , , ,

ad

ad

コメントを残す

  関連記事

ハピネスチャージプリキュア
夢と現実の境目でゲシュタルト崩壊中

ちょっと前から、「キュアまこぴー」 @Cure_makopi さんに会ってみたい …

AED
誰にも習わないAEDを使う前に注意すべき最大のポイント

AEDの講習は受けたことがあるかと思います。 最近免許を取った人や、病院や介護施 …

バイノーラル録音の利点

いや、古川明様にこれを体験して頂きたかった…だけです。 【ニコニコ動画】【イヤホ …

広告を見ての雑感

エンジニアなんだからFAXも直せるでしょ? 最近よく見る広告の1つ。 &nbsp …

no image
Happy birthday 俺

とうとうこの日がきました。 とうとう33歳になりました(^_^;)

ひらめきLED
脱原発?ソーラー?風力?クリーンなエネルギーはクリーンではない

東京都知事選での争点が脱原発かどうか、と聞いて呆れた。 呆れたついでにパロディサ …

no image
節約することがエコとは限らない

エコエコエコエコエコエコアザラクw ちまたにはエコという言葉がたくさんあります …

B-CAS
B-CASカードはいつなくなるの?

誰か教えてください。 B-CASカードって必要なんですか? ※株式会社ビーエスコ …

no image
ブラックなSEO企業とは

今、Web業界に激震が なんて書くと、わざとらしいのですが、検索エンジン最適化( …

no image
VAIO MASTER

SONYのVAIOのことなら何でも聞いてください! だって、私、VAIO MAS …

%d人のブロガーが「いいね」をつけました。

Fatal error: Uncaught JSMin_UnterminatedStringException: Unterminated String: '\'&replytocom=" + parseInt( comm_par, 10 ).toString();' in /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/includes/JSMin.php:148 Stack trace: #0 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/includes/JSMin.php(120): JSMin->action(1) #1 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/includes/JSMin.php(77): JSMin->min() #2 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/head-cleaner.php(1980): JSMin::minify('//<![CDATA[\nwin...') #3 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/head-cleaner.php(1124): HeadCleaner->js_minify('//<![CDATA[\nwin...') #4 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/head-cleaner.php(1094): HeadCleaner->_html_cleaner_helper('<div style="dis...') #5 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/head-cleaner.php(1308): HeadCleaner->html_cleaner('<div style="dis...') in /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/includes/JSMin.php on line 148