トークンってそんなに安全ですかね?
「ウィルス対策ソフト入れてるから万全」って言ってるのと同じ危うさを感じますが
素人考えですがフィッシング詐欺にトークンは弱いんじゃないかと
スクエニアカウントのログインページを摸したサイトで・・・
(手順書きましたが悪用されたりしたらまずいかな?と思い直したので消しておきます)
「トークン使ってるから安全」と思ってる人のほうがフィッシング詐欺に引っかけやすそう
トークンってそんなに安全ですかね?
「ウィルス対策ソフト入れてるから万全」って言ってるのと同じ危うさを感じますが
素人考えですがフィッシング詐欺にトークンは弱いんじゃないかと
スクエニアカウントのログインページを摸したサイトで・・・
(手順書きましたが悪用されたりしたらまずいかな?と思い直したので消しておきます)
「トークン使ってるから安全」と思ってる人のほうがフィッシング詐欺に引っかけやすそう
Last edited by Poice; 01-13-2012 at 12:45 PM.
"今のところは"安全です。
トークンを発生させる暗号ルーチン、また処理するサーバー側のエージェントのソースが流出しない限りは、非常に堅牢ですよ。
フィッシング詐欺で得られるのは、「ユーザー名、パスワード、"その時の"トークン」の3つ。この中で使えるのはユーザー名とパスワードのみ。
しかしサイトにはトークン必須としておけば、第3者(フィッシング詐欺の首謀者)からのログインは不可能。だって得たトークンは既に無効だから。
ただし、ウィザード級の技術とスパコン級の処理が可能な端末があれば、暗号化ルーチンを解析することは可能かも知れません。
まぁいわゆる鼬ごっこってやつですね。
少し前までの無線LANの暗号化(WPAとかWEPとかのアレ)と同じです。
今の技術でこれら無線LANの暗号化はものの10分もあれば解除可能ですからね。
~暁の地平線に
勝利を刻み込みなさいっ!~
Player
Last edited by Minna; 01-13-2012 at 01:53 PM. Reason: DIGIPASSのトークン時間を間違えた。
~暁の地平線に
勝利を刻み込みなさいっ!~
絶対に破れない暗号強度だったとしてもそれを迂回する手段なんていくらでも出来ます
要はその瞬間のトークンの表示を被害者に入力させるだけでいいのですから
私みたいな素人でも抜け道を考えられるくらいですから本職ハッカーだったらもっと手が込んだことできそうです。
先に上げたフィッシング以外にも木馬なんかも有効でしょう。寝釣り/寝合成ツールに忍ばせる なんてのもありかと。
しつこいくらいの啓蒙活動と何重にもかけられるセキュリティが必要かと思います。
トークンだけではそのうち被害でるんじゃないかと思ってますが、どうなりますかね
現実問題として、トークン有効期間の30秒でログインまで持ち込めるか、です。
そりゃ以下の項目が全てクリアになっているなら、人が介在するまでもなく可能ですが・・・。
1.パケットが全て解析済み(特にテレポとキャラをターゲット+取り引き要請)
2.スクリプト言語にてSocketプログラムが気軽に書ける(ウィザード級で)
並行作業で多数のPCはイラナイ。今となってはなんなりと大規模な演算を並列で行うことは可能なんですから。(例:クラウドの中でVMにやらせるとか)
先にも書いたとおり、セキュリティに関しては鼬ごっこですから、トークンを過信するなという思想は大いに有りです。
しかし、現状ではトークンによる自己防衛は十分すぎるほどの堅牢さを誇りますので、使ってない人は使うべきであり、会社としては使うように促すわけです。
今も時折インフォメーションで挙げてますね。
トークンの発生方法や、トークンを用いたセキュリティについて、もう少し勉強してもイイかもですね。
~暁の地平線に
勝利を刻み込みなさいっ!~
|
![]() |
![]() |
![]() |
|
Cookie Policy
This website uses cookies. If you do not wish us to set cookies on your device, please do not use the website. Please read the Square Enix cookies policy for more information. Your use of the website is also subject to the terms in the Square Enix website terms of use and privacy policy and by using the website you are accepting those terms. The Square Enix terms of use, privacy policy and cookies policy can also be found through links at the bottom of the page.