2007年09月24日

[セキュリティ] 100%防げるらしい(w

この記事なんだが。
http://enterprise.watch.impress.co.jp/cda/security/2007/09/20/11213.html


SyncLock というものらしい。

2要素認証で、別の接続経路を用いた2要素とでも言えばいいのかなぁ。
同一経路じゃないから、一気に乗っ取られることはないと。。。?
まぁ、そうなんだろうけど・・・。

以下、私見ですが、
原則として、中継攻撃してくるようなフィッシングを防ぐ手段は無いと
思っている。正規サーバー側からしてみればそれが通常の業務リクエストと、フィッシング行為であることとの区別が全く付かないからだ。
ユーザー側からしてみても、できることはアドレスバー確認ぐらいか?
最悪のケースだと、アドレスの確認やSSL証明書の確認も全て中継できちゃうし。
(X509証明書のでっち上げでできるみたい(要proxy経由+偽証明書仕込み)この本とかに書いてあったよ)

この2要素も中継攻撃すれば携帯認証も信じてしまうだろうしなぁ。
普段から用心深くしておかないとね。

と思っていたら、既に高木先生のブログに非常に詳しく書いてありましたよ。

しかし、なんで、こういうお役所というかなんというかは言い切っちゃうんでしょうなぁ。

こないだ、両親が、三○○○○○J銀行にカード切替に行ったんです。
カード切替。そしたら、オンラインバンクが勝手に付随していたんです、説明なしに。

ワンタイムパスワード表が送られてきて、発覚。
速攻で、ゴ━━━(#゚Д゚)=○)`Д)、;'.・━━━ルァ!!しに行く。
使いもしないのに、不用意にオープンしてフィッシング等に
引っかかったらどうする?銀行法では保証されないはず、と。

そしたら、便利なのにとかそんな人いませんよ?
用心深いですね、とかセキュリティは万全ですよ、とか
お約束の言葉。

(´・ω・`) … 、俺が変なの…?



posted by koteitan at 07:29| Comment(0) | TrackBack(1) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック


Excerpt: パスワードパスワード(Password)とは、一般的に合い言葉を指すが、特にコンピュータ関連で使用する場合は、特定の機能を使用する際に認証を得るため入力する文字及び数字の羅列を指す。多くの場合、その利..
Weblog: セキュリティ技術・知識図鑑
Tracked: 2007-10-09 11:25
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。