アクセスカウンターカレンダープロフィール
HN:
B氏
性別:
非公開
自己紹介:
リンバス・サルベージLSリーダーに加え、裏LSのリーダー代行。
FFの出来事を書いたり、気になった事の考察をしたりと、その時気が向いた事を書き連ねます。 ブログ内検索カテゴリー最新記事(06/17)
(06/15)
(06/14)
(06/12)
(06/11) アーカイブリンクフリーエリアなかのひと |
B氏の気まぐれFF11日記+1FF11関連ブログ。FC2から移行しました。リンクフリーPAGE | 1120 1119 1118 1117 1116 1115 1114 1113 1112 1111 1110 | ADMIN | WRITE 2009.03.11 Wed 14:18:31 ワンタイムパスワードねえ。うーん、ワンタイムパスワード実装ねぇ。
公式HPを見る限りハードウェアトークン(パスワード発生器)を用いているようだ。 ワンタイムパスワードになるとユーザ側のログイン操作はどのように変わるかと言うと、 ログインする際に、このハードウェアトークンに表示されるパスワードを見て、制限時間内に入力する必要が生じる。(制限時間は1分だったり3分だったりシステム毎に異なる) ワンタイムパスワードの特徴を簡単に書くと ・一度利用したパスワードは再利用できない。 ・ログインに必要なパスワードは毎回変わる。 ・パスワードは、一定時間内に入力できなかった場合は、パスワードを生成しなおし。 ・ハードウェアトークンを無くしたら、パスワード確認できない。(このあたりのケアがどのようにされるかはサービス次第だろうけど。) って感じ。 パスワードが毎回変わるので、パスワード入力は面倒になるけど、ログインに成功すればパスワードが漏洩しても、第三者のログインは不可能。従って業者にキャラが盗まれる可能性は減る。 ただし、パスワード漏洩している環境自体が問題なので、FFに影響しないからと言ってそれが問題ない事にはならない。 そもそもパスワード入力以前にアクセス先が改変されていて、業者が用意したサーバに通信するように仕組まれてしまった場合はパスワードを入力しようとも何の意味もなくなると言ったことがある。 例えば、POLのウィンドウビューアーに酷似した偽AP(ついでにデスクトップのPOLのショートカット先を改ざんする。)なんてものがあったとして、この偽APをユーザが気づかず起動し、パスワードを入力すると、業者のサーバにはアカウント名とパスワードを収集⇒業者は、送信されてきたデータを利用してすぐログインするなどと言ったことが出来てしまうかもしれない。 こういう事象に対してはワンタイムパスワードのセキュリティは有効ではない事に注意。(パスワードに有効期限がある点で全く対応していない訳ではないけどね。) 実際あるかどうかはともかくとして、絶対大丈夫と言うことはないってのを意識するのは忘れないようにしよう。 何にせよ、現状よりも高いセキュリティになるのだから、その点は肯定的にみて良いでしょうね。 通常の使い方をする限りにおいては問題ない気もします。 ただ、普通はハードウェアトークンは1アカウントに対して1つになるだろうなあ・・・きっと。 希望としては、ハードウェアトークン内に複数のアカウント情報を登録可能で、1台あれば最大Xアカウントまでパスワードの払い出しします! みたいなのだと嬉しいんだけど。 自分のように3アカ使いの人が、全部ワンタイムパスワード導入するとなると、3つのトークンを管理しなければならない。 しかも俺は整理整頓が苦手なほうなので、管理すべき端末が増えると言うのは厄介ごとなのですよ。 あと、サービス開始時点でちゃんとワンタイムパスワードが機能するかどうか。 恐らく、このようなセキュリティ機構はゲームの開発とは別注だとは思うので、□eの過去の開発の不具合の実績やその対応スピードと同一視して良いのかは考慮の余地はありますが、大丈夫?□eの提供システムだよ? と言う疑念が払拭できないのです。 何事も無いのが一番ですが、サービス提供開始直後には何かがあってもおかしくないかも、なんて思ったり。 ワンタイムパスワード利用者と、既存ログインパスワード利用者の判別とか大丈夫かなぁとか・・・ (仮にそんなところに問題があったら、既存パスワードのユーザでもログインできない事象が発生するかもしれない。過去に、POLのウィンドウズビューアーのアップデート時、POLにログインできない不具合は実際に発生したことがある。) 有償か無償かを抜きにしても、手放しでワンタイムパスワード導入うれしい!偉い!素敵!とは考えにくいのです。 (追記) セキュリティ対策1つをとっても、色々と考えさせられるものですね。 否定的な書き方をしているかもしれませんが、これは自分の性格上そういう書き方になってるだけで、別に□eがセキュリティ強化すると言う方針については大賛成ですのであしからず。 PR TrackbacksTRACKBACK URL : Comments無題Posted by 通りすがり 2009/03/11(Wed) 15:39:50 EDIT >者は、送信されてきたデータを利用してすぐログインするなどと言ったことが出来てしまうかもしれない。
無題Posted by B氏 2009/03/11(Wed) 17:00:37 EDIT 多分、通りすがりさんの解釈だと、間に業者の中継サーバがいて、それがPOLとのやり取りを盗み取る、または、単純にキーロガー等でキー入力された情報をバックグラウンドで第3者に送信している状況を想定されてると思いますが、自分の想定はちょっと違います。
無題Posted by 通りすがり 2009/03/11(Wed) 18:47:58 EDIT なんなら初回にわざと間違ったpwをいれてみればいいでしょう
無題Posted by B氏 2009/03/11(Wed) 19:53:15 EDIT とりあえず、何をそんなに突っ込みたがるのか理解出来ないです。
Comment Form |