CAC Corporationという会社が、携帯電話を使った高セキュリティ/低コストの認証システム「Mideye」を開始したと発表しました.
このシステムの利点は、One Time Password発行にToken Cardや乱数表を使うかわりに携帯電話を使用する.配送もSMSを使うので安全だとのことです.確かに生成器を持たずネットワークを介してOTPを発行してもらえるのは便利かもしれませんが,これを発行してもらうためにとあるWebページにアクセスし,そこでPINを入力するという時点で「認証のための Passwordを得るのに認証?」という疑問を覚えてしまうのだが、そこはどうなのだろうか?.
# 最終的には,その得られたOne Time Passwordを目的のWeb pageの認証のためにPC上から入力するっていう点もいただけない...
もちろん本人であることを確認するために,そのPINと携帯電話機の特定による2要素の認証というのはわかるのですが,他人がその携帯電話を持ち,かつそのPINが漏洩されてしまったら,それでなりすましに成功してしまうという意味では認証的に強化されたとは言いがたいのでは明確ではと考えます.
Posted by z at January 31, 2004 02:17 AM