アカウント名:
パスワード:
jbeef先生曰く、これはただのワンタイムパスワードじゃないそうですよ。https://twitter.com/HiromitsuTakagi/status/377069802289782784 [twitter.com]
おお、ついに日本でもMan-in-the-Browser対応カード導入ですかー。三井住友銀行さすがすなあ。(Man-in-the-Browser対応のWebアプリ改修はまだ先のようですが。)
詳細が出てこないので断言はできないけれど、ニュースリリースにある「中間者攻撃と呼ばれる高度な不正取引も防止可能です」という点が、恐らくは(正確には中間者攻撃ではなくて)MITB対策を指しているってことだろうね。
ワンタイムパスワードではそのトランザクションをPCで改ざんするMITBは防げない、という点が近年問題になっていたけれど、(OTPと振込先のセット情報を、ブラウザで振込先だけ情報を改ざんして渡す、なんてやられると防御できない)それへの対応を視野に入れたデバイスの普及を進めたという点での評価かと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
ただのワンタイムパスワードには興味ありません (スコア:4, 興味深い)
jbeef先生曰く、これはただのワンタイムパスワードじゃないそうですよ。
https://twitter.com/HiromitsuTakagi/status/377069802289782784 [twitter.com]
Re:ただのワンタイムパスワードには興味ありません (スコア:1, 参考になる)
詳細が出てこないので断言はできないけれど、
ニュースリリースにある「中間者攻撃と呼ばれる高度な不正取引も防止可能です」という点が、
恐らくは(正確には中間者攻撃ではなくて)MITB対策を指しているってことだろうね。
ワンタイムパスワードではそのトランザクションをPCで改ざんするMITBは防げない、という点が近年問題になっていたけれど、
(OTPと振込先のセット情報を、ブラウザで振込先だけ情報を改ざんして渡す、なんてやられると防御できない)
それへの対応を視野に入れたデバイスの普及を進めたという点での評価かと。