- ベストアンサー
ワンタイムパスワード
これから大学でセキュリティの勉強をしようとしているのですが ワンタイムパスワードに興味を持ちました ただ実際に僕はワンタイムパスワードを使用したことが無いので わからないことだらけです 現在ワンタイムパスワードはどのくらい実用化されているのでしょうか? ワンタイムパスワードはチャレンジレスポンス、S/Keyの他にもあるのでしょうか? チャレンジレスポンスの場合、悪意のある人間がHHAを持っていた場合に チャレンジコードを盗聴されてしまったらそれを元にパスワードが知られてしまうのではないでしょうか? たくさん質問してしまいましたがどれかひとつでも答えてもらえれば助かります よろしくお願いします
- t-yoshim
- お礼率100% (6/6)
- ネットワーク
- 回答数2
- ありがとう数6
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
> 現在ワンタイムパスワードはどのくらい実用化されているのでしょうか? 実際に使われているか、ということでしょうか。 まともな会社で、計算機に社外(イントラネット外)からのアクセスを 認めているところであれば、どこでも利用しているのではないでしょうか。 > ワンタイムパスワードはチャレンジレスポンス、S/Keyの他にもあるのでしょうか? 私が勤めている会社は SecureID というのを使ってます(→参照URLのひとつめ)。 「タイムシンクロナス方式」と解説されてますね。 > 悪意のある人間がHHAを持っていた場合にチャレンジコードを盗聴されてしまったら... チャレンジコードは接続の度に変わりますから、パスフレーズを 知られない限りは大丈夫です(→参照URLのふたつめ)。 MD5なんかは「不可逆な一方向関数を含む」とされていますから、 ネットワークを流れたレスポンスコードを知っていても、パスフレーズを 算出できない(ということになっている)です。
その他の回答 (1)
- punchan_jp
- ベストアンサー率55% (155/280)
一方向関数 md5 を用いればなぜ盗聴されてもよいかについて: 下のa-kunaさんも紹介している OPIE (や、そのもとの S/Key)で は、パスフレーズをたとえば 499 回 md5 に通した結果と、その回 数 499 を、リモートホスト側に登録しておき、telnet の接続があ ると、その回数から1回引いた値をチャレンジとして与えます。ユー ザは指定された回数だけ md5 を通した結果を手元の計算機で計算 して返答し、リモート側ではそれを1回だけ md5 に通して、登録結 果と一致すれば OK というわけです。 一度ログインに成功したら、今の response を1少ない値とともに 登録し直しておくと、次は異なるチャレンジを与えることになりま す。ある回で盗聴されたとしても、次の回ではその response を逆 md5 した値を答えなければならないので、事実上安全とされている わけです。(回数を減らしていくのがミソ。増やす方式だと、過去 の結果を記憶されたらアウトです。) 登録されているパスフレーズの md5 回数がどんどん減って、1になっ てしまったら、そのアカウントはもはやリモートから利用できません。 それまでに、再登録等が必要となります。
お礼
ありがとうございました
関連するQ&A
- ワンタイムパスワードとは
銀行で今スマホなどから口座にログインする場合このワンタイムパスワードを、DLしたソフトでパスワードを決めてログインするものですが、このワンタイムパスワードとはどのようなセキュリティなのでしょうか よろしくお願い致します。
- ベストアンサー
- 銀行・ネットバンキング
- ワンタイムパスワードに関する質問です。
下記ページの内容の中で、 設問2の(3)の解法が分かりませんから、教えて下さい。 http://情報処理試験.jp/FE21b-pm/t04.html そもそも、不正なサーバが規定のパスワードを把握していない場合には、 たとえ利用者のIDが送信されましても、 組み合わせのパスワードが分かりませんので、 其の不正なサーバがチャレンジを作成し得ませんね。 従いまして、悪用の為に、 もし(3)の状況で不正なサーバが其のパスワードを求めるのでしたら、 『其の儘』のパスワードを盗聴せざるを得ないのでしょうから、 「チャレンジレスポンス方式」が成立しない故に、 (3)の正解がエではなく、アなのでしょうか?
- ベストアンサー
- 情報処理技術者
- 銀行ワンタイムパスワード
ワンタイムパスワードについて質問ですが 三菱東京UFJの乱数表のカードが使えなくなるらしいので仕方なくワンタイムパスワードを利用しているのですが、例えばスマホを落としてしまった場合危険ではありませんか? もし万が一銀行のアプリにログインされてしまった場合、ワンタイムパスワードはログインしてもしなくても発行されるので悪用される可能性はかなりありませんか? 同じ状況になった場合、乱数表のカードだとカードがなければ悪用される可能性は低いですよね? どうなんでしょうか皆様教えて下さい。 よろしくお願い致します。
- ベストアンサー
- 銀行・ネットバンキング
- ワンタイムパスワードの安全性
ネットバンクのセキュリティでワンタイムパスワードという物があるそうですが、安全性は如何な物なんでしょうか。 機械を複製したり傍受される事はありませんか?
- ベストアンサー
- その他(ネットショッピング)
- 三井住友銀行のワンタイムパスワード
今までは振込の時にワンタイムパスワードのカードタイプのを使ってました。 持ち歩いてないのでワンタイムパスワードのアプリ?の有効化という操作をしてスマホだけでカードを持ち歩く必要ないので便利と思いましたが有効化完了から3時間経たないとセキュリティの観点から使えない云々と言われ面倒なのでカードタイプに戻したいのですが店頭に行けばよいのでしょうか? 設定からワンタイムパスワードの情報を削除したけど振込の時にワンタイムパスワードを求められカードタイプのパスワードを入力してエラーがでました。
- ベストアンサー
- 銀行・ネットバンキング
- メールで送られてくるワンタイムパスワード、安全?
こんな記事を目にしました。 「パソコンのメールアドレスに送られてくる「ワンタイムパスワード」を盗み取る新タイプのウイルス感染」。最近メール型のワンタイムパスワードで認証要求するサイトなどが多いけど、そもそもメールアカウントを盗まれてしまうこともあるので脆弱な仕組みですよね。 携帯メールは迷惑メール防止のため着信拒否設定してるし、携帯メールって別に携帯でしか見れないわけじゃないので安全じゃない。 こんな仕組みを金融機関が入れて今更注意喚起、ルールの変更とは・・・トホホですね。 対策案、ご意見などあればお待ちしてます。 ワンタイムパスワードも盗難、新ウイルスに注意 http://bubsnews.com/2013/04/post-296.html http://www.tabroid.jp/news/2013/05/onetime-pass-hack.html 楽天銀行:セキュリティ強化のためのワンタイム認証のルール変更 http://www.rakuten-bank.co.jp/info/2013/130527.html
- 締切済み
- 銀行・ネットバンキング
- メールで送られてくるワンタイムパスワードは安全か?
こんな記事を目にしました。 「パソコンのメールアドレスに送られてくる「ワンタイムパスワード」を盗み取る新タイプのウイルス感染」。最近メール型のワンタイムパスワードで認証要求するサイトなどが多いけど、そもそもメールアカウントを盗まれてしまうこともあるので脆弱な仕組みですよね。 携帯メールは迷惑メール防止のため着信拒否設定してるし、携帯メールって別に携帯でしか見れないわけじゃないので安全じゃない。 こんな仕組みを金融機関が入れて今更注意喚起、ルールの変更とは・・・トホホですね。 対策案、ご意見などあればお待ちしてます。 ワンタイムパスワードも盗難、新ウイルスに注意 http://bubsnews.com/2013/04/post-296.html http://www.tabroid.jp/news/2013/05/onetime-pass-hack.html 楽天銀行:セキュリティ強化のためのワンタイム認証のルール変更 http://www.rakuten-bank.co.jp/info/2013/130527.html
- 締切済み
- 銀行・ネットバンキング
- 郵貯のワンタイムパスワードについて
ゆうちょのトークンが手元に届きました。 これをいざ登録しようとして、ふとあることに気が付きました。 わたしはMMOのマビノギでワンタイムパスワードを使用しています。 携帯電話にワンタイムパスワードを発行するアプリケーションが入っています。 この二つを手にしてふとした疑問がわきましたので質問させていただくことにしました。 1:携帯のアプリでゆうちょのワンタイムパスの登録はできるのか? これが可能な場合、別にトークンいらなかったんじゃないかな? 2:ゆうちょのトークンでマビノギのワンタイムパス登録(この場合は変更かな)ができるのか? これが可能な場合、携帯電話のアプリはいらないかな? 以上2点です。 ちなみにワンタイムパスの発行方式は、ネットで見れる説明レベルには知っていますので、特に解説は不要です。 どなたか回答お願いします。
- 締切済み
- 銀行・ネットバンキング
- ワンタイムパスワード導入が利用率に与える影響
昨今セキュリティに対する関心の高まりから、1要素(ID/PW)だけの認証から 2要素(ID/PW+ワンタイムパスワードや生体認証)認証が求められることが多いと思います。 2要素目を導入されると、ユーザー的には使いにくいと感じると思います。 もちろん導入により守られているのはユーザー自身ですが、やはり作業が増えるのは嫌ですよね。 【質問】 あるWebサービスの認証にワンタイムパスワードを導入した場合、導入しない場合に比べてどれくらい影響が出るものなのでしょうか。 個人的には利用率が下がるのではと考えているのですが、どれくらいの下がり幅があるのか知りたいです。
- 締切済み
- ネットワーク
- ワンタイムパスワード生成アプリ
ある会社より社内向けオンラインショップの作成を依頼されました。自宅でPCまたはスマートフォンから利用したいということで、社内LANではなく、インターネット経由の利用になります。この社内向けオンラインショップの意図するところは、福利厚生の一環として、一部の商品を安く購入できることにあります。ここでやっかいなことは、社員がID・パスワードを知人等に教えて、社員以外に利用されてしまう可能性があることです。そこで社員以外は利用できないようにするための仕組みが必要になります(代理購入はできてしまいますが、それは仕方ないとします)。いろいろ調べて行き着いたのが、ワンタイムパスワードで接続認証させる方法です。ところがこの方法だと、通常はパスワード生成器が必要になり、利用者ごとに生成器の費用がかかってしまいます。 ここで疑問に感じたのですが、このパスワード生成器に相当するパスワード生成アプリを作成し、各クライアントの端末にインストールしておけば、パスワード生成器は不要になりますよね?たとえば、IDと時間をパラメータにしてパスワードを生成するアプリを作成しておけば、基本的には同じ事ができると思います。各OS用にアプリを開発する必要はありますが、一度作成してしまえば、その後の費用は必要なくなります。 あとはサーバー側の構築ですが、サイト内にPHP等でプログラムを作成しておけば、通常のレンタルサーバーでも簡易的な接続認証ができると思うのですが、この方法だとセキュリティ的に非実用的でしょうか?やはり別途認証サーバが必要になりますでしょうか? よろしくお願いします。
- ベストアンサー
- ネットワーク
お礼
ありがとうございました