ユニークな認証システムである.肝は、数字からなる格子状の表示が提供されるので,ユーザは事前に決めておいた格子内の複数のマスを,決めておいた順に押すことで自動的にランダムなパスワードが生成され,それが正しければ認証される.という点である.
このシステムは特別なハードウェアやソフトウェアなしにOne Time Passwordを実現しているのは確かである.SecureIDのようなToken生成器は必要ない.またWebベースで利用でき,決めておいたマスを順に押していくだけなので,携帯電話やPDAとの親和性も高い.しかし,インタフェースとしてはどうだろうか? ユーザは位置と順番を覚えるだけであるため,その記憶(パスワードともいうべき秘密情報の記憶)も困難ではないのは確かだと思う.だがしいくつかの典型的攻撃方法において脆弱なのではないだろうか?
思い付くだけでもBrute-force with Dictionary, Guess攻撃 そしてObservation攻撃には脆弱であると推測する.パスワードとして使用できるバリエーション総数はいくつぐらいになるのだろう
なお、この製品はJAL(日本航空)や古河電工,ジャフコなどで導入され,使用されているそうです.
Posted by z at January 21, 2004 02:12 AM