web-dev-qa-db-ja.com

(m)TANを適切に生成して使用するにはどうすればよいですか?

トランザクション認証番号(TAN)またはモバイルTANを使用するアプリケーションがある場合、それらをどのように正しく生成しますか?落とし穴は何ですか?

リストの次の番号のみを許可する必要がありますか、それともTANを使用する際のベストプラクティスは何ですか?

9
Andreas Arnold

あなたが必要とする最も重要なことは(良い)乱数ジェネレータです。私は、TANがランダムに分散されていないため、推測できるようなケースを見てきました。

  1. TANのリストを生成するだけです。ユーザーは、トランザクションごとに1つのTANを選択できます。これは、TANリストを使用する上で最も危険な方法の1つです。ユーザーはフィッシングサイトに騙され、ユーザー名、パスワード、およびTANを入力できます。攻撃者はそれらを取得して使用します。
  2. 優れたバージョンは、インデックス付きTAN(iTAN)です。すべてのTANはインデックス番号を取得します。ユーザーがトランザクションを完了したい場合、サイトは特定のインデックス番号を持つTANを要求します。ユーザーがフィッシングサイトにアクセスし、ユーザー名、パスワード、およびTANも入力すると、次のトランザクションで必要なTANを入力する可能性が低くなります。これにより、セキュリティが向上します。
  3. 私の意見では、モバイルTAN(mTAN)はTAN管理にとって最良の方法です。ユーザーがトランザクションを完了したい場合、相手からショートメッセージ(SMS)が送信されます。彼はこのTANを正確に入力する必要があります。そのため、ユーザーがフィッシングページにアクセスすると、有効なTANがなくなります。

必要なセキュリティ要件に応じて、本当に必要なTANの種類を決定する必要があります。 TANの作成に加えて、TANリストの配布チャネル(カタツムリメール、電子メール、SMSなど)を確認する必要があります。安全でない方法を選択すると、ユーザーを危険にさらす可能性もあります。

6
qbi