アカウント名:
パスワード:
(このコメントでは、みずほ銀行の「ワンタイムパスワードカード」を「セキュリティトークン」と表記します。)
タレコミ本文では、振込時にブラウザ上に入力する数字(セキュリティトークンに振込先口座番号を入力後に表示される数字)を、みずほ銀行の発表通りに 「ワンタイムパスワード」 としましたが、技術的に正確な用語を用いると 「メッセージ認証コード(Message Authentication Code:MAC)」 です。メッセージ認証コード(MAC)とは、データ改ざんの有無を検知するための固定長コードのことで(用語詳細) [capm-network.com]、今回導入されるシステムでは「振込先口座番号」の改ざんの有無を検出するために用いられます。パスワードは、「利用者
よく分からんけど、元記事を読むと、あらかじめ登録しておいた振込先以外には、ネットからの振り込み依頼は受け付けないというだけの仕組みに見えるんだけど、違うなら手短に説明してほしい。
違います。もし、事前登録先にしか振込できないのならば、わざわざセキュリティデバイスを導入しなくても、不正振込被害は殆ど発生しないでしょう。
今回導入されるトランザクション認証は、振込先口座番号をブラウザ上・セキュリティトークンの二か所に入力して振込手続きを進め、最後にセキュリティデバイスに表示された「メッセージ認証コード(MAC)」をブラウザに入力することで、MITBなどによる振込先口座番号の改ざんを防ぐ(マルウェアに感染していたり、中継型のフィッシング詐欺サイトに引っかかった場合でも不正振込を防ぐ)仕組みです。
日本全国、どの口座に対しても事前登録なしで振り込めるという利便性があります。
オレの理解
カード暗証番号と振込先口座番号を専用のOTPカードに入力する。入力値を基にしてOTPカード内で一向性ハッシュ値を生成し画面に表示する。ハッシュ値を使い捨ての取引パスワードとして振込実行をする。
※トークン方式はボタン押したときに時刻をキーにハッシュ生成するものらしい。
ポイント(1)乱数表が機械化されているので複製される可能性が極めて低い。
ポイント(2)PCにキーロガーが仕込まれて暗証番号と取引パスワードが流出したとしても振込先が固定なので悪用の可能性はほぼ無い。
懸念でも、ぶっちゃけOTPカードの計算式が解析される可能性って無いの?
たとえ計算式が分かってもハッシュの逆写像を(その値が有効なうちに)計算できないと任意の振り込み先口座に振り込むことはできないので、カードの内部状態を別の手段で知ることが出来ないとすると計算式までは漏れても安全なのでは。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
正確には「ワンタイムパスワード」ではなく「メッセージ認証コード(MAC)」 (スコア:5, 参考になる)
(このコメントでは、みずほ銀行の「ワンタイムパスワードカード」を「セキュリティトークン」と表記します。)
タレコミ本文では、振込時にブラウザ上に入力する数字(セキュリティトークンに振込先口座番号を入力後に表示される数字)を、みずほ銀行の発表通りに 「ワンタイムパスワード」 としましたが、技術的に正確な用語を用いると 「メッセージ認証コード(Message Authentication Code:MAC)」 です。メッセージ認証コード(MAC)とは、データ改ざんの有無を検知するための固定長コードのことで(用語詳細) [capm-network.com]、今回導入されるシステムでは「振込先口座番号」の改ざんの有無を検出するために用いられます。パスワードは、「利用者
Re:正確には「ワンタイムパスワード」ではなく「メッセージ認証コード(MAC)」 (スコア:0)
よく分からんけど、元記事を読むと、あらかじめ登録しておいた振込先以外には、ネットからの振り込み依頼は受け付けないというだけの仕組みに見えるんだけど、違うなら手短に説明してほしい。
Re:正確には「ワンタイムパスワード」ではなく「メッセージ認証コード(MAC)」 (スコア:4, 参考になる)
違います。もし、事前登録先にしか振込できないのならば、わざわざセキュリティデバイスを導入しなくても、不正振込被害は殆ど発生しないでしょう。
今回導入されるトランザクション認証は、振込先口座番号をブラウザ上・セキュリティトークンの二か所に入力して振込手続きを進め、最後にセキュリティデバイスに表示された「メッセージ認証コード(MAC)」をブラウザに入力することで、MITBなどによる振込先口座番号の改ざんを防ぐ(マルウェアに感染していたり、中継型のフィッシング詐欺サイトに引っかかった場合でも不正振込を防ぐ)仕組みです。
日本全国、どの口座に対しても事前登録なしで振り込めるという利便性があります。
Re: (スコア:0)
オレの理解
カード暗証番号と振込先口座番号を専用のOTPカードに入力する。
入力値を基にしてOTPカード内で一向性ハッシュ値を生成し画面に表示する。
ハッシュ値を使い捨ての取引パスワードとして振込実行をする。
※トークン方式はボタン押したときに時刻をキーにハッシュ生成するものらしい。
ポイント(1)
乱数表が機械化されているので複製される可能性が極めて低い。
ポイント(2)
PCにキーロガーが仕込まれて暗証番号と取引パスワードが流出したとしても振込先が固定なので悪用の可能性はほぼ無い。
懸念
でも、ぶっちゃけOTPカードの計算式が解析される可能性って無いの?
Re: (スコア:0)
たとえ計算式が分かってもハッシュの逆写像を(その値が有効なうちに)計算できないと
任意の振り込み先口座に振り込むことはできないので、カードの内部状態を別の手段で
知ることが出来ないとすると計算式までは漏れても安全なのでは。