アカウント名:
パスワード:
期限付きパスワードということなの?
偽のサイトでワンタイムパスワードを入力させてすぐにそれを使って認証を行い不正送金を行っているのではないかと
なのでこの場合ワンタイムでも意味が無い
銀行サイト側がログイン直後にOTPを送付された場合に処理を拒否すればよさそうですね。
30秒、あるいはトークン側の時計のずれを考慮しても数分たてばOTPは利用できなくなるわけで、ログインから送金までに数分かかるようにデザインすれば盗んだOTPでの送金はだいぶ難しくなるかと。
あでも送金時に1回偽のエラーを表示して再度OTP取得されたらだめか・・・。うーん。
OTPは銀行サイト側がユーザを認証する手段でしかないのでユーザ側が銀行サイトを認証できる安全な手段がないとMITB状態ではなすすべがないですね。
決済専用端末しかないのか・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
ワンタイムがワンタイムじゃない? (スコア:0)
期限付きパスワードということなの?
Re: (スコア:2, 参考になる)
偽のサイトでワンタイムパスワードを入力させて
すぐにそれを使って認証を行い不正送金を行っているのではないかと
なのでこの場合ワンタイムでも意味が無い
Re:ワンタイムがワンタイムじゃない? (スコア:1)
銀行サイト側がログイン直後にOTPを送付された場合に
処理を拒否すればよさそうですね。
30秒、あるいはトークン側の時計のずれを考慮しても
数分たてばOTPは利用できなくなるわけで、
ログインから送金までに数分かかるようにデザインすれば
盗んだOTPでの送金はだいぶ難しくなるかと。
あでも送金時に1回偽のエラーを表示して再度OTP取得されたらだめか・・・。
うーん。
OTPは銀行サイト側がユーザを認証する手段でしかないので
ユーザ側が銀行サイトを認証できる安全な手段がないと
MITB状態ではなすすべがないですね。
決済専用端末しかないのか・・・