質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

パスワード

パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Q&A

解決済

3回答

1114閲覧

ワンタイムパスワードアプリのセキュリティ

octeast

総合スコア4

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

パスワード

パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

0グッド

1クリップ

投稿2020/11/30 01:29

ワンタイムパスワードが最近普及してきているように思います。

また、ハードウェアトークンではなく、スマホ上にワンタイムパスワード生成アプリをインストールして、ワンタイムパスワードを発生するものも多くなってきてます。

そこで何か心配で質問2点です。

このアプリって、スマホが乗っ取られたら危険ではないのでしょうか?
ハードウェアトークンの方が安全かも、と思います。
そんなことは無いのでしょうか?

2.また、生成されたパスワードをたくさん集めたら、次が予測できたりはしないのでしょうか?

どうぞよろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

このアプリって、スマホが乗っ取られたら危険ではないのでしょうか?

ハードウェアトークンの方が安全かも、と思います。

ハードウェアトークンには、紛失・盗難・覗き見リスクしか無いですが、紛失・盗難の場合、取得した人は誰でもワンタイムパスワードを生成できます(物によっては生成にパスワードが必要な物もありますが、私の持っている銀行の物はパスワード無しで、仕事で使っている物はパスワード要)。
ただ、他のものと一緒に紛失したとかでなければ、どこの誰のどのアカウント用か分からないので、悪用のリスクは低いでしょう。

スマホが紛失・盗難にあった場合で、かつ、端末ロックが破られた場合だと、悪用リスクは高いです。端末ロックが破られないと安全です。

紛失・盗難にあったわけではない前提で、お書きの「乗っ取り」のケースを考えると、
スマホのアプリ同士はお互いに影響を与えないようにスマホOSが作られているので、「怪しいアプリをうっかりインストールしてしまった」「怪しいサイトを見てしまった」とかでは、それらアプリがワンタイムパスワードの情報を取得するのは不可能です。OSに脆弱性が無い限りですが。

次が予測できたりはしないのでしょうか?

出来ないように作られています。

投稿2020/11/30 02:47

otn

総合スコア85901

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

octeast

2020/11/30 03:15

簡潔に教えていただきありがとうございます!!理解しました。
guest

0

スマホが乗っ取られたら危険ではないのでしょうか?

番号を搾取される可能性は大いにあると思いますが、それが「危険」だとは一概には言えないと思います。そもそもアプリで行うワンタイムパスワードは2段階認証用が主なはずです。2段階認証はパスワードクラック(総当たり攻撃等のパスワードを割り出す攻撃)から守るためのものです。

多要素認証は、パスワードクラックなどに対しては強いが、フィッシングや中間者攻撃などに対しては無防備である。

https://ja.wikipedia.org/wiki/多要素認証


2段階認証のQRコードには大きく分けて二つの種類があります。
HOTP, TOTPです。
おそらく、TOTPの方が広く使われていますがRFCで仕様が定義されているのでご覧になると理解が深まると思います。
HOTP - RFC 4226
TOTP - RFC 6238

投稿2020/11/30 02:15

kyoya0819

総合スコア10429

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

octeast

2020/11/30 03:15

資料までいただきありがとうございます。このような資料をいただけるのは勉強になります!!!
guest

0

このアプリって、スマホが乗っ取られたら危険ではないのでしょうか?

もちろん、その危険はあります。ただ、

ハードウェアトークンの方が安全かも、と思います。

ハードウェアトークンも、物理的に盗難・紛失等の危険があるのは同じです。

2.また、生成されたパスワードをたくさん集めたら、次が予測できたりはしないのでしょうか?

それが数学的に困難となるようアルゴリズムを構築しています。

投稿2020/11/30 02:17

maisumakun

総合スコア146018

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

octeast

2020/11/30 03:15

ご回答ありがとうございます!!
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問