三井住友銀行,ワンタイムパスワードを採用

http://www.smbc.co.jp/news/j600034_01.htmlによると,ワンタイムパスワードを使うことにしたようですね.
ユーザが疑似乱数生成器を持っていて,1分おきにパスワード(乱数)が変化していくと言うもの.もちろん,ATM側(銀行側)にも対応する乱数生成器が(おそらく,ユーザごとに)存在して,ユーザ側とATM側の疑似乱数が一致した,あるいは,何らかの関係で対応づけられたら認証するというもののようです.
なんだか,バーナム暗号(というか,ストリーム暗号)チックでおもしろいのですが,ちょっと微妙かも.
つまり,こんな疑問が浮上するのですが,どうでしょうか.

  • 疑似乱数生成器を盗まれたらどうするのか?

盗まれたらふつうのキャッシュカードと同じですよね.疑似乱数を生成するための秘密鍵(シード)がユーザの持つ疑似乱数生成器に入っているので仕方ないですが.
もちろんパスワード入力はあるでしょうから,「カードを盗まれる」「疑似乱数発生器を盗まれる」「パスワードを盗み見られる」という三つ7の条件を満たされると,アウトなのでしょう.これまでは,「カードを盗まれる」「パスワードを盗み見られる」の二つが条件でしたから,しきい値が一つあがったことになりましょうか.でも,ふつう疑似乱数生成器もカードも同じ鞄とかに入れますよね.しきい値あがってんのか,これ(笑)

ところで,$n$個くらい疑似乱数発生器を入手すると,センターの疑似乱数発生器の秘密情報(しかもマスター情報とか)がリークする,とかないのでしょうか.それについて,証明されているのかな??

とりあえず,今回は,乱数発生器とカードを落としたらアウトですけれど,回線盗聴や監視カメラでパスワードを盗み見るという犯罪に対しては(多少の)抑止力がありそうですね.パーフェクトではないけど,いろいろ考えてるのだな.海外では割とよくある解決法らしいですけれども.