PayPalのパスワード生成デバイスが公開βに(ITmedia News)
ワンタイムパスワードってエンタープライズっぽいVPNとか認証とかだと思っていたら。
paypalでやるとは。
でも銀行でも採用してたな、と思って調べてみた。
SMBC三井住友銀行トップ > 商品・サービス一覧 > ワンタイムパスワード(株式会社 三井住友銀行)
ニュースリリース 新セキュリティサービス『ワンタイムパスワード』の取扱開始について(株式会社 三井住友銀行)
「トークン形式のワンタイムパスワードの標準化」について(株式会社ジャパンネット銀行)
月額100円ぐらいの利用料。
Home : 製品情報 : e-Security Story : Vol.24:株式会社ジャパンネット銀行(RSAセキュリティ株式会社)
RSA Security Inc.について(RSAセキュリティ株式会社)
会社概要
2006年9月、RSA Security Inc.は、EMC Corporationによる買収を得て、RSA, The Security Division of EMCとなりました。
↑これは知りませんでした…。
インターネットバンキングの安全性を巡る現状と課題(日銀レビュー)
日銀レビュー・シリーズ06-J-14 2006年7月28日(日本銀行)
下記の括弧内のコメントは小生1vv4による補足。
(1)ID/パスワード
ベーシック認証とも呼ばれる
(2)乱数表
(ご契約者カードと呼ぶ銀行も)
(3)ワンタイムパスワード
①事前にリストを配布するタイプ
②必要の都度トークン等の機器で発生させるタイプ
③必要の都度別の通信経路で連絡するタイプ等
(4)PKI 認証
(PKIとは(PKIとは 【公開鍵基盤】 (Public Key Infrastructure) – 意味・解説 : IT用語辞典 e-Words)
(5)生体認証
(6)その他
その他
予め利用者が登録した設問を表示し、これに答えることによって認証するチャレンジ質問といった認証手段も存在する。(リマインダのことか?)
上記の、
(3)ワンタイムパスワード
①事前にリストを配布するタイプ
はドイツでは有名らしくTVでも紹介された記憶があり面白いアイデアと思っていたのですが…。
上記の日銀レビューによると、
50~100 個程度のランダムな数字が印刷された
スクラッチカードを予め渡され、取引の都度、順
番ないし指示された箇所を削って現れた数字を
パスワードとして使うものである。ドイツなどで
は昔からiTAN と呼ばれ広く使われている。低コ
ストで導入が可能なのがメリットであるが、未使
用の複数箇所の数字を入力するよう促すフィッ
シング攻撃が行われた例もある。
まさにいたちごっこです…。
この資料は非常によくまとまっています。もちろんこの資料内にもセキュリティのリスクはゼロにすることは不可能との記述。限界と管理可能な範囲に押さえ込むリスクマネジメントが必要とのこと。
つまり、リスクマネジメント、言い換えると認証手段の導入にかかるコストと導入しない場合のリスク発生率×損害コストの算定を行い、導入にメリット(トータルでの判断で)があれば導入ということなんでしょうね。
PINの4桁は誕生日そのままなどの場合は銀行は損害を補償してくれないはず。また、補償金額にも限界があったような…。だからといって導入に対する抵抗要素となるかというとそうでも無いかも。なぜなら、銀行などでは、レピュテイション(評判)・マネージメントも重要なので単純な計算では無いでしょう。
とりとめなく終わります。
コメント