ゲームへのログインに関して

[vbsnbk]

まぁその暗号化の一部は、既に盗まれたことがあるようですけどね・・・。一部なので影響は小さかったとかなんとか。



しかもカード型符号キーは記憶力があれば暗記できるっていうおまけ付きですよね。元素記号を116まで覚えるより簡単ですから。

その通り。だからあれはあくまで「簡易的な」OTPなんでしょうね。「トークン買いたくない」って人に標準で押しつけるにはコストが低くて
良いんでしょうけど、トークンに代わるものでは無いでしょうねえ。

ちょっとスレチになってきたんで私からの案。
今のワンタイムトークンでも結構十分な気がしますが、そこから一歩踏み込んで、よくシェアウェアとかであるライセンスファイル的な
その人だけの秘密鍵をPCに設置し、プログラムはそれを読みとり識別するというのはどうだろう？
SSHの秘密鍵/公開鍵と言えば、わかる人には解るかな？

なので
第一段階：
　　　　　秘密鍵/公開鍵によるSecureなログイン
第二段階：
　　　　　第一段階＋ワンタイムトークンで更に堅牢化

という感じを想定。ただ欠点は・・・ロドストやフォーラムのようなWebには対応できないかとは思いますが、
それよりも大事なゲームの方には、上記の案は結構Secureになるんじゃないかなと思う。

秘密鍵/公開鍵は堅牢なんですけど、基本的には端末認証なのでネカフェとかからだと面倒な事になるんですよねえ。
おまけにキーロガー系に代表されるマルウェアに対しては無力に近いですし。
しかも鍵の扱いはユーザに任せると「キーファイル無くした！！」「秘密鍵のパスフレーズが解らない！！」のオンパレード。
結局自分が某商用アプリ開発で通信路をSSHにしたときは、ライセンスファイルに秘密鍵を埋め込んで妥協しちゃいました。

ちなみにSSLでもブラウザ側に証明書インストールして認証は出来ますので、やろうと思えばWEBだろうが技術的には
クライアント認証可能なのですが、いわゆる「オレオレ認証局」じゃないちゃんとしたブラウザ証明書はコスト的にあり得ないですからね……。
クライアントの認証では無いゲーム内の通信経路の暗号化は既に今でもやってますしね。

[Minna]

秘密鍵/公開鍵は堅牢なんですけど、基本的には端末認証なのでネカフェとかからだと面倒な事になるんですよねえ。
おまけにキーロガー系に代表されるマルウェアに対しては無力に近いですし。
しかも鍵の扱いはユーザに任せると「キーファイル無くした！！」「秘密鍵のパスフレーズが解らない！！」のオンパレード。
結局自分が某商用アプリ開発で通信路をSSHにしたときは、ライセンスファイルに秘密鍵を埋め込んで妥協しちゃいました。

ちなみにSSLでもブラウザ側に証明書インストールして認証は出来ますので、やろうと思えばWEBだろうが技術的には
クライアント認証可能なのですが、いわゆる「オレオレ認証局」じゃないちゃんとしたブラウザ証明書はコスト的にあり得ないですからね……。
クライアントの認証では無いゲーム内の通信経路の暗号化は既に今でもやってますしね。

無くす方が・・・というのはおいといて。
パスフレーズの入力も無くすようにすれば良いのではないかと思うけども。pagentのように常駐で、起動時にだけパスフレーズ入力って感じで。
メモリ解放処理が結構キモになりますがね。今のスクエニに出来るとは思えない・・・。だって現行クライアントでもメモリ解放できていないんだもの。

まぁ鍵認証以外で言うとあとは・・・USBドングルか。しかしこっちはコストが結構かかりそうなんですよね。
しかもトークンと並行使用すると、持ち歩くモノが二つに増えるという罠。

どこかに妥協しなければいけないでしょうね。

[追記]
いっそのこと指紋認証にするか！
罪歴ある人の場合、Ｋの人が入り放題になるかも知れないけど！

某古いアニメのようにボイスパスワードってのも有りかも知れない。風邪の時はシラン！
もちろん、クライアントの表示はポイスパスワードですよね。

あぁ・・・だんだんWeb系が無理な案ばかりに（汗