スーパー乱数表もセキュリティフォントと同じ欠陥ソリューションじゃないの?

バンクガード、絵柄使った新個人認証システム納入 :日本経済新聞
話題のスーパー乱数表、今月からサービススタートらしいですね。

BankGuard

BankGuardはキャッシュカードなどに印刷できるスーパー乱数表セキュリティシステムを開発しています。乱数として画像を用いることにより、乱数全入力画面が出ても、利用者が誤入力することを防御します。中間者攻撃(MITB)、乗取り、フィッシング攻撃などを防御する次世代のセキュリティシステムです。既存のセキュリティシステムであるワンタイムパスワードと比較して5分の1という低コストで導入することが可能です。

スーパー乱数表本人認証/取引認証特許技術 | サービス・製品 | 株式会社ラック

スーパー乱数表 通常の乱数表
安全性

原価
運用費
操作性
携帯性

◎優位 ○大きな問題なし ▲懸念有

フィッシング攻撃対策(本人認証)全ての数値を入力させるようなフィッシング詐欺に対しては、従来の数字(0~9)のみの乱数表は防御ができなかったが、「スーパー乱数表」はこのようなフィッシング詐欺を防御可能。

住友銀行で使っていた、オンラインバンキングの乱数表って、確かに、0~9なんだけど二ケタだったよね・ω・?
スーパー乱数表は画像だから、数値入力のフィッシング詐欺に対して防御できなかったとか言ってるけど、アクセス時に、スーパー乱数表の画像ぶっこ抜くこと可能なんだから、ハッカーは数字じゃなくて、画像を引っこ抜いて、画像を選ばせるようなフィッシングサイト作ればいいだけだと思う。

三菱東京UFJ銀行、ネットバンキングで乱数表を廃止。ワンタイムパスワード必須に | スラド セキュリティ

乱数表は古いから廃止って流れになってるのに、小細工して、セキュリティ的に全く変わらないものを紹介するとか馬鹿ですか?・ω・

ってのが私の感想

fish
スーパー乱数表を用いた、フィッシングサイト例

導入コストが削れるうえ、運用も簡単とか言われてるものは大概、セキュリティが強化できるなんてのは嘘なんだよ。「セキュリティ対策しています」ってスタイルだけ見せたいだけだったら構わないけど、導入してるところは避けるべきですね。

rand

日本のセキュリティは10年遅れてると言われるのがよく分かる。

おすすめ

2件のフィードバック

  1. yoka より:

    基本的に乱数表の使い方が間違ってると思います。
    例えば一度の認証で認証を5回行うこととして、その内正解が1つで他は不正解を意識的に混ぜると言う使い方をすると思います。
    利用者が毎回正解ばかり入力していては、あっという間に手元の暗号表が漏れてしまって話になりません。
    元々盗聴されているのを前提とした暗号通信での利用だったと思います。
    あたかも新技術のように見せかけて特許取得済みとか恥ずかしいにもほどがありますね。

  2. yoka より:

    基本的に乱数表の使い方が間違ってると思います。
    例えば一度の認証で認証を5回行うこととして、その内正解が1つで他は不正解を意識的に混ぜると言う使い方をすると思います。
    利用者が毎回正解ばかり入力していては、あっという間に手元の暗号表が漏れてしまって話になりません。
    元々盗聴されているのを前提とした暗号通信での利用だったと思います。
    あたかも新技術のように見せかけて特許取得済みとか恥ずかしいにもほどがありますね。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です