Q&A
資料までいただきありがとうございます。このような資料をいただけるのは勉強になります!!!
ワンタイムパスワードが最近普及してきているように思います。
また、ハードウェアトークンではなく、スマホ上にワンタイムパスワード生成アプリをインストールして、ワンタイムパスワードを発生するものも多くなってきてます。
そこで何か心配で質問2点です。
このアプリって、スマホが乗っ取られたら危険ではないのでしょうか?
ハードウェアトークンの方が安全かも、と思います。
そんなことは無いのでしょうか?
2.また、生成されたパスワードをたくさん集めたら、次が予測できたりはしないのでしょうか?
どうぞよろしくお願いいたします。
回答3件
0
ベストアンサー
このアプリって、スマホが乗っ取られたら危険ではないのでしょうか?
ハードウェアトークンの方が安全かも、と思います。
ハードウェアトークンには、紛失・盗難・覗き見リスクしか無いですが、紛失・盗難の場合、取得した人は誰でもワンタイムパスワードを生成できます(物によっては生成にパスワードが必要な物もありますが、私の持っている銀行の物はパスワード無しで、仕事で使っている物はパスワード要)。
ただ、他のものと一緒に紛失したとかでなければ、どこの誰のどのアカウント用か分からないので、悪用のリスクは低いでしょう。
スマホが紛失・盗難にあった場合で、かつ、端末ロックが破られた場合だと、悪用リスクは高いです。端末ロックが破られないと安全です。
紛失・盗難にあったわけではない前提で、お書きの「乗っ取り」のケースを考えると、
スマホのアプリ同士はお互いに影響を与えないようにスマホOSが作られているので、「怪しいアプリをうっかりインストールしてしまった」「怪しいサイトを見てしまった」とかでは、それらアプリがワンタイムパスワードの情報を取得するのは不可能です。OSに脆弱性が無い限りですが。
次が予測できたりはしないのでしょうか?
出来ないように作られています。
投稿2020/11/30 02:47
総合スコア84798
0
スマホが乗っ取られたら危険ではないのでしょうか?
番号を搾取される可能性は大いにあると思いますが、それが「危険」だとは一概には言えないと思います。そもそもアプリで行うワンタイムパスワードは2段階認証用が主なはずです。2段階認証はパスワードクラック(総当たり攻撃等のパスワードを割り出す攻撃)から守るためのものです。
多要素認証は、パスワードクラックなどに対しては強いが、フィッシングや中間者攻撃などに対しては無防備である。
https://ja.wikipedia.org/wiki/多要素認証
2段階認証のQRコードには大きく分けて二つの種類があります。
HOTP, TOTPです。
おそらく、TOTPの方が広く使われていますがRFCで仕様が定義されているのでご覧になると理解が深まると思います。
HOTP - RFC 4226
TOTP - RFC 6238
投稿2020/11/30 02:15
総合スコア10429
0
このアプリって、スマホが乗っ取られたら危険ではないのでしょうか?
もちろん、その危険はあります。ただ、
ハードウェアトークンの方が安全かも、と思います。
ハードウェアトークンも、物理的に盗難・紛失等の危険があるのは同じです。
2.また、生成されたパスワードをたくさん集めたら、次が予測できたりはしないのでしょうか?
それが数学的に困難となるようアルゴリズムを構築しています。
投稿2020/11/30 02:17
総合スコア145208
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/11/30 03:15