忍者ブログ

アクセスカウンター

カレンダー

08 2024/09 10
S M T W T F S
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30

プロフィール

HN:
B氏
性別:
非公開
自己紹介:
リンバス・サルベージLSリーダーに加え、裏LSのリーダー代行。
FFの出来事を書いたり、気になった事の考察をしたりと、その時気が向いた事を書き連ねます。




ブログ内検索

カテゴリー

未選択 ( 0 )
当ブログについて ( 6 )
日記(日常編) ( 689 )
日記(BF・NM編) ( 43 )
日記(金策編) ( 12 )
変更履歴 ( 4 )
ブログ解析結果 ( 19 )
番外編 ( 39 )
日記(ENM編) ( 21 )
日記(デュナミス編) ( 41 )
日記(リンバス編) ( 19 )
コラム ( 33 )
日記(アサルト編) ( 9 )
その他のゲーム ( 46 )
日記(サルベージ編) ( 99 )
各種考察 ( 53 )
その他 ( 20 )
未分類 ( 1 )
日記(花鳥風月編) ( 15 )
サルベージ固定PT ( 3 )
モンガー考察 ( 9 )

最新記事

移行前のブログに戻りそうです。
(06/17)
FFXI ストーリーアルティマニア
(06/15)
週末ダイジェスト
(06/14)
しばらくはカンパニエ(予定)
(06/12)
ヘキサストライク
(06/11)

アーカイブ

2009 年 06 月 ( 16 )
2009 年 05 月 ( 22 )
2009 年 04 月 ( 29 )
2009 年 03 月 ( 27 )
2009 年 02 月 ( 22 )
2009 年 01 月 ( 24 )
2008 年 12 月 ( 27 )
2008 年 11 月 ( 22 )
2008 年 10 月 ( 26 )
2008 年 09 月 ( 26 )
2008 年 08 月 ( 30 )
2008 年 07 月 ( 29 )
2008 年 06 月 ( 33 )
2008 年 05 月 ( 26 )
2008 年 04 月 ( 29 )
2008 年 03 月 ( 33 )
2008 年 02 月 ( 40 )
2008 年 01 月 ( 32 )
2007 年 12 月 ( 31 )
2007 年 11 月 ( 47 )
2007 年 10 月 ( 35 )
2007 年 09 月 ( 33 )
2007 年 08 月 ( 35 )
2007 年 07 月 ( 32 )
2007 年 06 月 ( 34 )
2007 年 05 月 ( 40 )
2007 年 04 月 ( 28 )
2007 年 03 月 ( 29 )
2007 年 02 月 ( 25 )
2007 年 01 月 ( 33 )
2006 年 12 月 ( 35 )
2006 年 11 月 ( 26 )
2006 年 10 月 ( 13 )
2006 年 09 月 ( 20 )
2006 年 08 月 ( 39 )
2006 年 07 月 ( 30 )
2006 年 06 月 ( 27 )
2006 年 05 月 ( 23 )
2006 年 04 月 ( 20 )
2006 年 03 月 ( 16 )
2006 年 02 月 ( 10 )
2006 年 01 月 ( 20 )
2005 年 12 月 ( 7 )

最新コメント

目から鱗
[07/08 黒75なりたて]
無題
[06/16 B氏]
無題
[06/08 B氏]
無題
[06/03 アレク]
無題
[05/20 B氏]

リンク

管理画面

フリーエリア

RSS

RSS 0.91
RSS 1.0
RSS 2.0

バーコード

なかのひと

PAGE | 1120 1119 1118 1117 1116 1115 1114 1113 1112 1111 1110 | ADMIN | WRITE

2024.09.21 Sat 23:20:23

[PR]

×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

2009.03.11 Wed 14:18:31

ワンタイムパスワードねえ。

うーん、ワンタイムパスワード実装ねぇ。
公式HPを見る限りハードウェアトークン(パスワード発生器)を用いているようだ。

ワンタイムパスワードになるとユーザ側のログイン操作はどのように変わるかと言うと、
ログインする際に、このハードウェアトークンに表示されるパスワードを見て、制限時間内に入力する必要が生じる。(制限時間は1分だったり3分だったりシステム毎に異なる)

ワンタイムパスワードの特徴を簡単に書くと
・一度利用したパスワードは再利用できない。
・ログインに必要なパスワードは毎回変わる。
・パスワードは、一定時間内に入力できなかった場合は、パスワードを生成しなおし。
・ハードウェアトークンを無くしたら、パスワード確認できない。(このあたりのケアがどのようにされるかはサービス次第だろうけど。)

って感じ。
パスワードが毎回変わるので、パスワード入力は面倒になるけど、ログインに成功すればパスワードが漏洩しても、第三者のログインは不可能。従って業者にキャラが盗まれる可能性は減る。
ただし、パスワード漏洩している環境自体が問題なので、FFに影響しないからと言ってそれが問題ない事にはならない。
そもそもパスワード入力以前にアクセス先が改変されていて、業者が用意したサーバに通信するように仕組まれてしまった場合はパスワードを入力しようとも何の意味もなくなると言ったことがある。

例えば、POLのウィンドウビューアーに酷似した偽AP(ついでにデスクトップのPOLのショートカット先を改ざんする。)なんてものがあったとして、この偽APをユーザが気づかず起動し、パスワードを入力すると、業者のサーバにはアカウント名とパスワードを収集⇒業者は、送信されてきたデータを利用してすぐログインするなどと言ったことが出来てしまうかもしれない。
こういう事象に対してはワンタイムパスワードのセキュリティは有効ではない事に注意。(パスワードに有効期限がある点で全く対応していない訳ではないけどね。)
実際あるかどうかはともかくとして、絶対大丈夫と言うことはないってのを意識するのは忘れないようにしよう。
何にせよ、現状よりも高いセキュリティになるのだから、その点は肯定的にみて良いでしょうね。
通常の使い方をする限りにおいては問題ない気もします。

ただ、普通はハードウェアトークンは1アカウントに対して1つになるだろうなあ・・・きっと。
希望としては、ハードウェアトークン内に複数のアカウント情報を登録可能で、1台あれば最大Xアカウントまでパスワードの払い出しします!
みたいなのだと嬉しいんだけど。
自分のように3アカ使いの人が、全部ワンタイムパスワード導入するとなると、3つのトークンを管理しなければならない。
しかも俺は整理整頓が苦手なほうなので、管理すべき端末が増えると言うのは厄介ごとなのですよ。

あと、サービス開始時点でちゃんとワンタイムパスワードが機能するかどうか。
恐らく、このようなセキュリティ機構はゲームの開発とは別注だとは思うので、□eの過去の開発の不具合の実績やその対応スピードと同一視して良いのかは考慮の余地はありますが、大丈夫?□eの提供システムだよ?
と言う疑念が払拭できないのです。
何事も無いのが一番ですが、サービス提供開始直後には何かがあってもおかしくないかも、なんて思ったり。
ワンタイムパスワード利用者と、既存ログインパスワード利用者の判別とか大丈夫かなぁとか・・・
(仮にそんなところに問題があったら、既存パスワードのユーザでもログインできない事象が発生するかもしれない。過去に、POLのウィンドウズビューアーのアップデート時、POLにログインできない不具合は実際に発生したことがある。)

有償か無償かを抜きにしても、手放しでワンタイムパスワード導入うれしい!偉い!素敵!とは考えにくいのです。
(追記)
セキュリティ対策1つをとっても、色々と考えさせられるものですね。
否定的な書き方をしているかもしれませんが、これは自分の性格上そういう書き方になってるだけで、別に□eがセキュリティ強化すると言う方針については大賛成ですのであしからず。
PR

Trackbacks

TRACKBACK URL :

Comments

無題

Posted by 通りすがり  2009/03/11(Wed) 15:39:50 EDIT

>者は、送信されてきたデータを利用してすぐログインするなどと言ったことが出来てしまうかもしれない。

本人がログイン成功したらその時使ったのpwはその場で破棄されますよ
直後に業者が続いて盗んだpwでログインしようとしても既に破棄されてるから無理です

無題

Posted by B氏  2009/03/11(Wed) 17:00:37 EDIT

多分、通りすがりさんの解釈だと、間に業者の中継サーバがいて、それがPOLとのやり取りを盗み取る、または、単純にキーロガー等でキー入力された情報をバックグラウンドで第3者に送信している状況を想定されてると思いますが、自分の想定はちょっと違います。

もともとの前提として
・キーロガーのようなスパイウェアでは無くて、もっと直接的にPOLに酷似したGUIで、実際には業者と通信を行うようなAP(ここでは偽APと呼称)と言うものがあったと仮定
・また、何らかのセキュリティの穴をつかれデスクトップ上のショートカットアイコンのリンク先は本来のAPから偽APに指定されてしまったとする。

と言うような架空の話です。
「ユーザはPOLに繋いでると思っている」けど、実際には「POLのGUIに酷似した別のAPをユーザが使ってしまっていて、業者のサーバと通信している」状況であり、、「POLに対してはその時点では全く通信されていない」と言うことです。

この状況が本当にあるかは分かりませんが、このような通信の流れであれば、パスワードはPOLとやり取りされていないので、そのパスワードの有効期限以内に業者が入力する事ができれば一応第三者がログインできる事になると言う事です。

また、ユーザからみれば、普段のショートカットを起動して、普段と同じような操作をしているのに、「パスワードを入力してもいつまでたってもログインできない状態」に見えるし、実はPOLではない別のAPを起動していない、という事に気づかなかったとすれば、早くて数分、遅ければ数時間以上乗っ取られる状況が発生するんじゃないかな?
と、思ったのです。

実際にそんな事が出来るかどうかってのはあんまり考慮していません。

業者からすれば、町の中でログアウトしたキャラを数分間でも乗っ取る事ができるならば、高価なアイテムのいくつかくらいは奪い取る事が出来るのではないか。ならば、引っかかったユーザに対して態々ログインさせてあげるような上品な対応は不要で、暫く足止めさえ出来れば良いのではないかなと考えました。

とりあえず、この記事の話で突っ込むべき点は多々あるのは分かってます。
例えば偽APで選択するアカウント名は、POLと同じものに出来るのか?とか、そんなAPあったらすぐ足が付くんじゃないのとか、セキュリティソフトで知らないあて先への通信はアラート出しそうとか。
業者が一度ログアウトしたりさせられたら、再ログインできないから恒常的に乗っ取りは出来ないとか。
そもそも、現実的じゃないよ!って言われれば自分でもそう思います。

ここで言いたいのは、100%安全なセキュリティ何でものはない事、高性能なセキュリティ対策が出たとしても、何らかのリスクは残る、または新たに発生すると考える事が重要だよ、という事です。

無題

Posted by 通りすがり  2009/03/11(Wed) 18:47:58 EDIT

なんなら初回にわざと間違ったpwをいれてみればいいでしょう
偽アプリなら偽pwと判別できずにエラーが出ないはずですよね

無題

Posted by B氏  2009/03/11(Wed) 19:53:15 EDIT

とりあえず、何をそんなに突っ込みたがるのか理解出来ないです。
別に自分が書いた手段が、まともに実用出来る手段であるかどうかは別に重要ではないです。

そもそも自分が変な例を出している点に問題があるとは思いますが、要点の本筋とはあんまり関係ない所を指摘されても、なんとも議論しづらいところです。

>なんなら初回にわざと間違ったpwをいれてみればいいでしょう
うーん、確かにそれができれば有効かもしれませんが、パスワードが合っていようと、間違っていようと、POLのパスワード入力エラーと同じメッセージをPOPさせるようになっていれば、その確認方法は意味がなくなりますし、その方法は、常に自分のPC内に怪しげなものが入っている事を警戒している人しか出来ないです。毎回ログイン時には1回パスワードを間違えて入力する事を習慣付けているような人はそうそういないでしょう。
と言う感じで、元々適当に考えた話に対して、お互いに色々とこじつけられちゃうようなどうでもいい話ですし、ここは、ITの事なんかさっぱり分かってなさそうなアホ(=私)が変な記事かいてやがるなHAHAHAくらいに思っておいてください。
以上、よろしくお願いいたします。

無題

Posted by Endmilion  2009/03/12(Thu) 15:46:50 EDIT

それは非常によく分かります

Comment Form

<< PREV | HOME | NEXT >>