アカウント名:
パスワード:
それよりも、なんで三井住友銀行はワンタイムパスワードをRSA securityのからVascoに変えたんでしょうねぇ?テンキーついているから、画面のチャレンジコードを入力して、結果を入れるのかと思ったらそうじゃないし。
確かに、チャレンジコード入れられれば、防げた話ですね。送金先が違えばチャレンジコードが合わない筈なので。
うわ、意味の通らない文章になってました。すみません。チャレンジコードを送金先+saltみたいな形にすれば、ということが言いたかったです。
送金先12345とsalt678を使ってチャレンジコードを123456とすれば、ユーザが入力するのは123456に対するOTPであって、攻撃者が送金先54321に送金させようとしても、チャレンジコード54321678に対応するOTPを得ることができない。
それ、ユーザが手元にもつレスポンス計算機側にその機能を含んでないと無理では?中間者が、送金先54321への送金リクエストをまず銀行サイトに送って、銀行サイトがチャレンジコード54321678を返してきたときに、中間者がユーザに提示する画面に送金先12345とチャレンジコード54321678を表示し、ユーザがそれを信用すれば攻撃が成立するわけで。
レスポンス計算機にそこまで機能を作りこむのは、あまり現実的じゃないような。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
中間者攻撃ですよねぇ (スコア:0)
それよりも、なんで三井住友銀行はワンタイムパスワードをRSA securityのからVascoに変えたんでしょうねぇ?
テンキーついているから、画面のチャレンジコードを入力して、結果を入れるのかと思ったらそうじゃないし。
Re: (スコア:2)
確かに、チャレンジコード入れられれば、防げた話ですね。
送金先が違えばチャレンジコードが合わない筈なので。
Re: (スコア:1)
ただの文字列として受け取って、これも本物と同じような見た目の結果画面を出せばいいだけ。
あとはユーザが気づく前にコトを行えばOK。
Re: (スコア:2)
うわ、意味の通らない文章になってました。すみません。
チャレンジコードを送金先+saltみたいな形にすれば、ということが言いたかったです。
送金先12345とsalt678を使ってチャレンジコードを123456とすれば、ユーザが入力するのは123456に対するOTPであって、
攻撃者が送金先54321に送金させようとしても、チャレンジコード54321678に対応するOTPを得ることができない。
Re:中間者攻撃ですよねぇ (スコア:0)
それ、ユーザが手元にもつレスポンス計算機側にその機能を含んでないと無理では?
中間者が、送金先54321への送金リクエストをまず銀行サイトに送って、銀行サイトが
チャレンジコード54321678を返してきたときに、中間者がユーザに提示する画面に
送金先12345とチャレンジコード54321678を表示し、ユーザがそれを信用すれば
攻撃が成立するわけで。
レスポンス計算機にそこまで機能を作りこむのは、あまり現実的じゃないような。