コメントの問題報告 | デジタル改革アイデアボックス

あなたと創るデジタル社会

デジタル改革アイデアボックス


コメントの問題報告

対象の内容

#023

乱数表を使う場合と同じだと言う理由ですが、これは非常にシンプルです。結局は、ソーシャルハッキングの次元になるからですね。特殊詐欺に対して銀行の防犯体制があまり関係しない事に似ています。

最も大きな理由は、認証済みの後のセッションの乗っ取りを問題にするなら、人間に乱数を入力させればよいだけだ、と言う事です。乱数表であろうとなかろうと同じですね。

もう一つは、証明書が乱数表のどこを要求しているかと言う情報は、結局信頼できない端末が表示するので、偽の乱数入力画面を作りいくらでも盗める、と言うことです。
これでパスワードが複数あろうと、一つであろうと、ICカードが置かれていれば乗っ取りができます。これを防ぐにはICカードにディスプレイを付けるぐらいしかありませんが現実的ではありません。

そうなるとセキュリティを保つ所は、パスワードが盗まれてもICがなければ何もできない、と言う所に収束しますが、これは乱数を使わない場合も同じです。

既にある乱数表を入力させるフィッシング詐欺では、巧妙に乱数を入力させます。
その際に、シンプルなPINではなくて乱数表を使う方が、間違えた?と言う心理を誘えるため、逆効果であると言う話もあります。乱数表が廃れた理由の一つの様です。

報告/依頼内容
ページの先頭へ