パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

シマンテック社のワンタイムパスワードシステムで障害、複数の銀行でネット振込みできず」記事へのコメント

  • ワンタイムパスワードって公開鍵みたいなものを渡して認証サーバーなんてなくても機能するものだと思ってたけど違ったのか。
    普通に実装すればそうなるよね。
    RFC 6238とかだってそうだし。

    しかし、広告に「ノートンなら、何もしなくてもあんしん。」とかが出てくるのはアレだな。いつものことだけど。

    • by Anonymous Coward

      追記:公開鍵と言っても漏れたら総当たりできるから貰ってないって事かしら。

      • by Anonymous Coward

        ワンタイムパスワードの実装方法にもよるのだろうが、一般的な RFC 6328 みたいなのは公開鍵ではなく、秘密鍵を共有
        鍵が漏れたら正攻法で解けるわけで、総当たりみたいな作業はいらない。
        銀行とかだと、鍵の保持は業者も任せたいってのはあるだろうな。

        Googleやら MS、Yahoo に Facebook なんかも、RFC6328 なのだけど、漏れたら凄いことになりそうね。

        • by Anonymous Coward on 2018年06月28日 16時33分 (#3434045)

          うん。考えてみると秘密鍵なんて概念はワンタイムパスワードには無理だった。
          英数数文字回すのと普通にパスワード生成するのと一応最低五千倍くらいは違うとは言え、後者ができれば前者もできる。
          多分実際その通り自前の鍵管理を嫌ったんだろうが、自前のサーバーから漏れたりしうるならなんだってありかる思う。
          専用デバイスとか配ってるならおいそれと交換できないとかは分かるが、スマホとかなら最悪QRコードを読み取らせて再設定させるだけの話なのに。

          親コメント
          • by Anonymous Coward

            金融系で採用されていたようだから、アセスメントの内容よりも体裁が売りになる商売なのかもしれない

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...