ワンタイムパスワードを一般的な TOTP 標準に準拠したものに対応してほしい

[Aryn_Ra]

現在スクウェア・エニックスの OTP は独自仕様？ ですが、TOTP 標準 (RFC 6238, Google Authenticator 互換) にも対応してほしいです。
サービスごとに OTP アプリを使い分けるのは面倒ですし、Android のクライアントが動作が不安定で設定が頻繁に吹っ飛んでイライラします。また、Windows 10 Mobile 用の公式 OTP アプリはリリースされていません。
既存のハードウェアトークンとの兼ね合いもあるため完全移行は難しいでしょうが、追加の選択肢の一つとして検討していただけないでしょうか。

[Matthaus]

スクエニのトークンは、世界的にも大手のバスコ社のシステムを採用しています。
世界中の大手金融機関や官公庁等でも採用されている、非常にしっかりしたものです。
決して独自のものではありませんよ。

[Aryn_Ra]

しっかりしているしていないの話ではありません。
# というか、現に今の Android の OTP クライアントはクッソ不安定なんですが……。

特定企業の実装に依存しない TOTP 標準に対応さえすればユーザは自由に OTP のクライアントを選択できますし
一つのクライアントで複数のサービスを利用できるようになるので利便性も高まるという話です。

[Aryn_Ra]

質問です。
TOTPってセキュリティ的に危険度高めていう認識だったと思いますが、いまは変わったんですか？
セキュリティ的に危険度が低いのはHOTPだったような気がしますが。。

ソースがないのでどの点をなぜ危険とするかがわからないのでなんとも言えないのですが、
Google や Microsoft もそのまんまな TOTP を使ってるのでアルゴリズム上の問題はないと思いますが……。
そもそも TOTP って HOTP の Counter に TimeStep で割った UnixTime を入れるだけだけですよ。

TOTP ではなく VASCO 含む時刻同期方式のワンタイムパスワードに共通する問題ですが、
一度認証を通したワンタイムパスワードを再び受け入れてしまうなど、実装に問題がある場合は
またちょっと話が変わってきますが、本質的な話ではないです。

[LuckyBancho]

おっしゃりたいことは下記の2点ということでしょう。
・Android版のソフトウェアトークンが不安定だから何とかしてほしい。
・専用アプリは管理が面倒なので、パスワード管理アプリに対応してほしい。

スクウェアエニックスアカウントのワンタイムパスが独自仕様か否かは上記の内容には関係ないと私は思います。

が、スレ主さんが書いている以上は主張の根拠であり、その一つが誤りである、という指摘に対して
　「そういう話じゃない」
と返すのは、第3者から見れば
　「指摘に対して回答しないで論点ずらしをしている」
と評価されても仕方ないと思いますよ。

「スクエニのOPTは独自仕様ではないようですが、それは主張とあまり関係ありませんでした」
で済む話。


スクウエアエニックスアカウントで採用しているVASCO社製はTOPT方式という点では同じですが暗号化のアルゴリズムは非公開。万が一鍵が漏れても容易にはパスワードは生成できません。

Google Authenticator互換のは、アルゴリズムは公開されて第3者でも管理アプリが出来て、いろんなサービスで採用されて、そのアカウント管理が集約できるので便利。ただし、鍵が漏れれば終わり。


ユーザーが自由にOPTのクライアントを選べれば便利かもしれませんが、スクエニとしてどこまでサポートするか、という問題も出てきます。
どのOPTクライアントを選ぶかは自己責任、という考えもあるでしょうけど、万が一悪質OPTクライアントを掴まされて「スクウエアエニックスアカウントのワンタイムパスが突破された」と騒がれれば、技術提供しているVASCO側も風評被害を被るリスクがあります。


セキュリティにおいては、方式を増やすと、セキュリティの弱い方に全体のセキュリティレベルが引っ張られるので、単純に便利だから増やせばいい、というわけにはいかないと思います。

[Aryn_Ra]

「スクエニのOPTは独自仕様ではないようですが、それは主張とあまり関係ありませんでした」

あーー、なるほど。私は「独自仕様」という言葉を「オープンな S/KEY や TOTP でないクローズドな仕様」という意味で使ったのですが、「スクウェア・エニックスが開発した」と取るほうが自然な、確かに誤解を招く言い回しでしたね。すみません。

VASCO社製はTOPT方式という点では同じですが暗号化のアルゴリズムは非公開。万が一鍵が漏れても容易にはパスワードは生成できません。

ただ、こちらは違うかなと。LuckyBancho さんはお詳しい (Lodestone 国勢調査、楽しく見させていただいています) ようなのでもちろんご存知だと思いますが、「隠蔽によるセキュリティ (Security through obscurity)」、つまりアルゴリズムを隠すことが安全性の向上に寄与するという主張は、現代の情報セキュリティの通説では一般的には否定されていますよね。
そもそも、アルゴリズムの解析などせずとも、耐タンパ性のないソフトウェアトークンがあるのだから、もし鍵が抜けたのならばそちらに鍵を食わせてしまえばいいだけの話です。

どのOPTクライアントを選ぶかは自己責任、という考えもあるでしょうけど、万が一悪質OPTクライアントを掴まされてスクウエアエニックスアカウントのワンタイムパスが突破された」と騒がれれば

こちらは全く考えていませんでしたし、面白い視点だと思います。
とはいえ、Google や Microsoft の他にも Amazon、Dropbox、Evernote、Facebook、GitHub、Yahoo、オンラインゲームでは RO、PSO2 あたりでも採用実績がありますし、各社に習って推奨クライアントを示す (または旧来のソフトウェアトークンを推奨) だけで問題ないのではないかなあと思います。

[Isvara]

技術的な事は全くわかりませんが、ハードウェアトークンを使ってる身からすれば、今のままで充分なので、 リスクを増やさないでらしいですね。

てか、スレ主さんもハードウェアトークンを使えば良いのでは？

[Orbea]

アルゴリズムを隠すことが安全性の向上に寄与するという主張は、現代の情報セキュリティの通説では一般的には否定されていますよね。

そこまで明確に否定されていましたっけ？
賛否はあれど、結局は時と場合と使い方によるよって話だと思ってました。

これはどの製品にも言えることだけど。
鍵（シークレット、シード）を丸っと抜いたとして、IDとパスワードもなきゃどうにもならんのですけれど、そこまで出来るなら、IDもパスも抜かれてる可能性も高いか・・・

[YuhiKisaragi]

ふむふむ・・・わからん

[Aryn_Ra]

ちょっと話が取っ散らかってきたので再度整理を。
- Android の OTP クライアント不安定だし使いにくい！ (iPhone も iOS9.2 でトラブルあったよね)
- どうせなら Google も MS も使ってる、安全で使いやすい TOTP にも対応して！
- てか PSO2 が同じこと (元々の OTP システムに不満 → TOTP にも対応) やれたんだから、あっちにできてこっちにできない道理はないっしょ

これだけですね……。