このニュースを聞いて「パスワードカード」って何だろう?と気になった。
ニュースの内容だけだと、今まであった「セキュリティトークン」と何が違うの?という感じだったが、カードの実物の写真をみるとテンキーが付いていて数字の入力ができる模様。
こちらのニュース動画をみると「チャレンジレスポンス」ができるみたい。
で、銀行のニュースリリースには「中間者攻撃と呼ばれる高度な不正取引も防止」とあって
(実際には、Man-in-the-Browser への対応の模様)、どうやるのかなと思ってた。
ググるなどして、パスワードカードのメーカーの資料が見つかったので読んでみると、
どうも「電子署名モード」というのがあって、「電子送金を保護するユーザーは、
送金者の銀行口座番号、送金先の銀行口座番号、送金金額などの値を
DIGIPASS に入力し、電子署名値を計算します。」とのこと。
口座番号、金額をパスワードカードに入力して、出てきた電子署名値をサーバに送って、
サーバ側で計算した署名値と一致するかどうかで処理内容が正しいかどうか判断する
ということのようだ。
思ってたことに近い方法だったのと、そこまでパスワードカードに入力してもらうのかぁ、
というのが感想。
(参考)
ニュース - 三井住友銀行がワンタイムパスワード生成カードを本格導入、将来はMITB攻撃対策も:ITpro
三井住友銀行、SMBCダイレクトのセキュリティ強化で「パスワードカード」導入 | マイナビニュース