Quote Originally Posted by TOPDOG View Post
IDが漏れて1/1000000の数字を当てられる可能性だとか
キーロガーがしかけられて、IDとパスが漏れて、さらに1/1000000の数字を当てられる可能性だとか
そういう話をするならば、プレイ中に自分に隕石が落ちてくる等のリスク対策もしないとですねw
100万分の1というのは、「あなたのアカウントが詐取されることがない」ためにはそれなりに小さいですが、
「誰かのアカウントが詐取されることはない」ためには大きすぎます。
攻撃する人からすればピンポイントであなたのアカウントを詐取するのでなく
なんでもいいから詐取できればいい場合もあるのです。

仮に以下の前提の場合を考えます
前提1) パスワードがワンタイムで100万通りしかないことが分かってる
前提2) パスワードを1時間以内に3回連続で間違えるとロックされる
前提3) 有効なID1万個のリストを持っている
有効なIDはスクエニアカウントを取る際に重複チェックがありますから、
「重複チェックにひっかかるもの」が有効なIDです。
ここで、あるワンタイムパスワードを1秒に1回、1万個のうちのIDのうち1個に順に試すことを考えましょう。
それぞれログインできる確率は1/100万の確率ですが、1秒1回ですと1日に86400回試行できます。
1/100万で86400回試して全部外れる確率は、(999,999/1,000,000)^86400 = 0.917227227
91.7%の確率で全部外れますが、恐ろしいことにたった1日で8.3%の確率でどれかはあたってしまいます。
あるIDについては10000秒に1回しか試さないのでロックされることもありません。
事前にIDが漏れている必要はありませんし、キーロガーを仕込む必要もありません。
単に100万通りしかないパスワードというのは弱すぎるんです。
そういうのをするならワンタイムトークンで15桁くらいの数字を入れる必要があるかと思います。