アカウント名:
パスワード:
期限付きパスワードということなの?
偽のサイトでワンタイムパスワードを入力させてすぐにそれを使って認証を行い不正送金を行っているのではないかと
なのでこの場合ワンタイムでも意味が無い
銀行サイト側がログイン直後にOTPを送付された場合に処理を拒否すればよさそうですね。
30秒、あるいはトークン側の時計のずれを考慮しても数分たてばOTPは利用できなくなるわけで、ログインから送金までに数分かかるようにデザインすれば盗んだOTPでの送金はだいぶ難しくなるかと。
あでも送金時に1回偽のエラーを表示して再度OTP取得されたらだめか・・・。うーん。
OTPは銀行サイト側がユーザを認証する手段でしかないのでユーザ側が銀行サイトを認証できる安全な手段がないとMITB状態ではなすすべがないですね。
決済専用端末しかないのか・・・
完全に専用端末でもないと無理な気がする。USBとかに刺してネットでその端末と認証を行い、認証とかは内部で勝手にやってくれる。対象が偽サイトならその認証自体が成功しない(その端末のシステムを解析して全く同じ物を作らない限り)からこの場合なら偽サイトに使っても「あれ?成功しねえぞ?」で終わる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
ワンタイムがワンタイムじゃない? (スコア:0)
期限付きパスワードということなの?
Re:ワンタイムがワンタイムじゃない? (スコア:2, 参考になる)
偽のサイトでワンタイムパスワードを入力させて
すぐにそれを使って認証を行い不正送金を行っているのではないかと
なのでこの場合ワンタイムでも意味が無い
Re:ワンタイムがワンタイムじゃない? (スコア:1)
銀行サイト側がログイン直後にOTPを送付された場合に
処理を拒否すればよさそうですね。
30秒、あるいはトークン側の時計のずれを考慮しても
数分たてばOTPは利用できなくなるわけで、
ログインから送金までに数分かかるようにデザインすれば
盗んだOTPでの送金はだいぶ難しくなるかと。
あでも送金時に1回偽のエラーを表示して再度OTP取得されたらだめか・・・。
うーん。
OTPは銀行サイト側がユーザを認証する手段でしかないので
ユーザ側が銀行サイトを認証できる安全な手段がないと
MITB状態ではなすすべがないですね。
決済専用端末しかないのか・・・
Re: (スコア:0)
完全に専用端末でもないと無理な気がする。
USBとかに刺してネットでその端末と認証を行い、認証とかは内部で勝手にやってくれる。
対象が偽サイトならその認証自体が成功しない(その端末のシステムを解析して全く同じ物を作らない限り)から
この場合なら偽サイトに使っても「あれ?成功しねえぞ?」で終わる。