武田圭史

ご丁寧にご回答ありがとうございます。
生体認証については理解させるのもできるとは思いますが、二要素認証に関する、Man-in-the-middle、トロイの部分を広く理解してもらうのは、それなりに難しそうですね。
どうしても、米国先行で動いてしまうセキュリティの世界ですので、このブログの情報は、非常に有用です！
今後も楽しく読ませていただきます。

はたぼ。さん。ブログについてのコメントありがとうございます。反応があるとこちらも励みになりますので、今後とも何かありましたら発言をお願いします。

随分と時間が経ってからのご質問で恐縮ですが、ワンタイム・パスワードの有効時間を短かくし、同一パスワードの繰り返し利用を銀行側システムで排除すれば問題ないように考えますが、これは誤りでしょうか。
（生体認証についてのご指摘は、よく分かります。）
よろしければ、お考えをお聞かせください。

ますださん、はじめまして。
この指摘はパスワードの繰り返し利用による攻撃(Replay-Attack)に関する問題ではなくて、中間者攻撃(Man-In-The-Middle Attack)に関する危険性に関するものです。つまりフィッシングなどによって本物そっくりの銀行の偽サイトに利用者を誘導し、ここにＩＤとパスワードを入力させる。偽サイトはユーザから受け取ったＩＤとパスワードを裏で本物のサイトに送るというようなことをすれば、本来ユーザが送金しようと思った金額と送金先を書き換え自分の口座に振り込ませたりすることができてしまいます。

武田様、お忙しいなか早速のご回答、本当にありがとうございます。中間者攻撃の意味がよく分かりました。

そこで、追加のご質問ですが、ワンタイムパスワードの有効時間が仮に1分の場合、中間者は、送信者から情報を取って、1分以内に書き換えて銀行に送信をしなければならないことになりますが、こうしたことは現実的なのでしょうか。

また、WINDOWSでは、（サービス当初に手続きを行えば）端末認証のような機能があると聞きますが、こうしたものを併用した場合、中間者攻撃は相当程度阻止出来るのではないでしょうか。

お考えをお聞かせ頂ければ、幸いです。

ワンタイムパスワードの有効時間をあまり短くすると、その時間ごとに正規の利用者が入力すべき内容が変化することになります。おそらくタイプしている間にパスワードが変わったり入力して送信したものがサーバに届くまでに無効になってしまうのであまり実用的ではないのではないでしょうか？（１分ぐらいなら無理ではないと思いますが）ただ、いくら短くしたところで、中間者攻撃自体は人力ではなくプロキシのようなプログラムで行われるため、処理に必要な時間は人間のタイプに必要な時間よりもずっと短いのでこの有効時間自体はあまり影響しないと思われます。
端末認証はベリサイン等から鍵を購入することで可能です。ただ、今回の例ではサーバ側の認証が問題となりますので通常のSSLサーバ認証をきちんと行っていれば、端末認証まで行う必要はあまりないかと思われます。

ご回答ありがとうございました。
しっかり勉強してまいりたいと思います。