ToyBox – トイボックス

ToyBoxは日常を綴りながらSEOやWordPress、はてはどうでもいいことまでの雑記サイトです。

*

ワンタイムトークンの危険性

   

ワンタイムトークンがあるから安全と思うな

one_time_token

ワンタイムトークンがインターネットバンキングなどの不正ログインを防ぐ為に使われるようになって久しい。
アカウント情報が盗まれたとしても、ワンタイムトークンは60秒など一定時間が経過したら使えなくなる1度きりの番号生成器だから、もし番号を覗かれたとしても、2度目は使えない仕組みだ。
が、そんなの安全性でいえば、ちょこっと危険性がなくなる程度のものであり、信頼なんてしてはいけない。

詐欺師ならどうするか

1度しか使えない仕組みだから安全、とは言っても入力ミスで2回目の番号を入力するときもあるだろう。
だが、1度目は詐欺サイトであり、そこに正しい情報を入力していたならば、詐欺師側からすれば、公式サイトにその時点でログイン成功するのである。

インターネットバンキング利用者の何割が、適切な回線で安全なブラウザで、公式サイトであることをチェックしてログインしているのであろうか。
そんな面倒なこと、ほとんどの人がしていない。
銀行の公式サイトが怪しい方が気になるぐらいだ。

ワンタイムトークンはCAPTCHAと同じ運命?

ワンタイムトークンとCAPTCHAは全く同じものではないし、機能的にも別物ではあるが、辿る運命は同じか考えてみた。

現在、様々なCAPTCHAがあり、Googleの新しいreCAPTCHAのように進化しているものはある。
勿論、旧来のCAPTCHAの本来の目的としてある「コンピュータか人間か」についての対策としては、ほぼ無効になってきている。
逆に人間が読めないものが出てくる始末だ。

GoogleのreCAPTCHAでは、「コンピュータか人間か」を判断するついでに、人間のイライラを発生させつつ機械が読めなかった文字を代わりに読んでもらうというOCRとしては画期的なことを成し遂げた。

さて、ワンタイムトークンだが、物理的に所有するものである以上は盗難に合わない限り物理的な攻撃には対処できるが、「ソフトウェア的な」攻撃にはやはり無防備であることに変わりない。
公衆無線LANに繋がった状態でネットバンキングにログインし…といった何かしらの無防備さで入力画面をハイジャックされてしまえば(方法論はここでは取り上げない)結局先に書いたように2度の入力をさせてしまうことも可能である。

今までのようなワンタイムトークンを運用しているだけでは、いずれ詐欺師に騙されてしまう。

これがあるから安全、はありえない

指紋認証があるから大丈夫。

なんて思っていても、初期の指紋認証は複製された指紋を見破ることが出来なかった。
暫くして、静脈などをみて、生きている人間かどうかの判別が加えられたが、本人の指紋かどうかの認証は出来ても、そこにいる人が本人か、また本人の意思で居るのかは判別出来ない。

怪我してしまった日には大変だ。
まぁ、なかなかないからこその認証方法ではあるが。

とはいえ、iPhoneの指紋認証が思った以上に楽なので、左右の親指を登録していたのだが、左右の親指を次々に怪我してしまったときはとても不便に感じてしまった。
パスコードを4桁ではなく、長文にしていたために余計に大変な思いをした。

ワンタイムトークンも同じで、普段は1段階面倒が増えるだけだが、それで全てが安心になる訳ではない。
当然ながら、ワンタイムトークンをなくしてしまうなどのトラブル時にも不利益を被るのは本人である。

何でも迂闊に信用してはいけない。
最後に身を守るのは自分の行動なのだから。

 - PC, インターネット, ソフトウェア, テクノロジ, 雑記, , , , , ,

ad

ad

コメントを残す

  関連記事

no image
「たかの友梨」がブラック企業かどうかを考える前に

「たかの友梨」がブラック企業だと言われているが 2014年の8月5日に「たかの友 …

JISキーボードを使わなくて、USキーボードを使う理由

JISキーボードじゃなくてUSキーボードを使ういくつかの理由 私が普段使っている …

プリチェンカード マクドナルドハッピーセット分
プリキュアなどのデータカードダスで使われているバーコードについて

プリキュアや仮面ライダーシリーズ、他にも様々なデータカードダスゲーム機があります …

はじめまして

これから毎日Blogを続けなきゃいけなくなりました。

九州電力のプロバイダBBIQ(ビビック)を見つける方法

タイトルは凄く過激ですが、つまんない小ネタです。 九州の戸建てでは安い光ブロード …

no image
コスト削減、節約が生み出す負のスパイラル

私の父が働いていた頃、印刷された名刺からインクジェットで出力した名刺に変わったの …

サーバがダウンしたのは政府機関の陰謀だ! なんて恥ずかしい話をしないように

とうとうBlogが消されてしまいました。どうしても隠しておきたかったのでしょう …

ハピネスチャージプリキュア
夢と現実の境目でゲシュタルト崩壊中

ちょっと前から、「キュアまこぴー」 @Cure_makopi さんに会ってみたい …

代々木ゼミナールに本当に先見性があるのか

代ゼミが27校舎のうち7割にあたる20校舎を閉鎖 この記事が出てからというもの、 …

no image
SEOは古い。いや、SEOは既には終わった。

SEOで1位! なんて業者は信じてはいけません。 SEOでアクセスアップ云々を自 …

%d人のブロガーが「いいね」をつけました。

Fatal error: Uncaught JSMin_UnterminatedStringException: Unterminated String: '\'&replytocom=" + parseInt( comm_par, 10 ).toString();' in /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/includes/JSMin.php:148 Stack trace: #0 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/includes/JSMin.php(120): JSMin->action(1) #1 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/includes/JSMin.php(77): JSMin->min() #2 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/head-cleaner.php(1980): JSMin::minify('//<![CDATA[\nwin...') #3 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/head-cleaner.php(1124): HeadCleaner->js_minify('//<![CDATA[\nwin...') #4 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/head-cleaner.php(1094): HeadCleaner->_html_cleaner_helper('<div style="dis...') #5 /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/head-cleaner.php(1308): HeadCleaner->html_cleaner('<div style="dis...') in /home/agleam/jtoybox.net/public_html/wp-content/plugins/head-cleaner/includes/JSMin.php on line 148