私の理解度の確認の為に、此の質問を致します。

チャレンジレスポンス認証というのは， サーバから送信されるランダムなチャレンジコード，パスワード，何らかのハッシュ関数によって，暫定的なレスポンスコードを生成します。 http://okwave.jp/qa/q7746075.html の私の回答ANo.1 時刻同期方式のワンタイムパスワード認証は， ハードウェアトークンが生成するトークンコード，パスワード，何らかのハッシュ関数によって，暫定的なOTPを生成します。 > 暫定的なパスワードの値が、 > たとえ不正なサーバへのログインによって聴取されましても、 > もし元のパスワードが漏洩されていませんでしたら、 > 更新後のパスワードと同じ値の生成は殆ど為され得ませんね。 > 従いまして、其の故に、 という箇所が着目点なのであれば，その点はチャレンジレスポンスも時刻同期方式も変わらないです。 違いは， チャレンジレスポンスの場合はチャレンジコードが通信回線を流れるのに対して， 時刻同期方式のトークンコードは通信回線を流れないということです。 また，すべてのハードウェアトークンが同じ時刻に同じトークンコードを表示するのではなく，セキュアサイトの運営者が各利用者にハードウェアトークンを発行する際，各利用者ごとにハードウェアトークンの設定を変えて利用者に渡しますから，単純に「其の不正なサーバの管理者がNTPサーバで時計合わせを試みたところで」トークンコードは生成できません。 > 但し、どんな新パスワードへの変更が行なわれているのかを、 > もし認証サーバ側で把握し得ていませんでしたら、其の場合には、 > 同一の利用者の利用継続が証明され得ませんので、 > どういう手段で其の問題を解消されているのかが分かりませんから、 > 畏れ入りますが、教えて頂けませんでしょうか？ > http://okwave.jp/qa/q7745892.html の回答ANo.1の補足 一般的なパスワード変更処理と同じです。サーバにログインした状態で，新パスワードを入力すれば，サーバ側に新パスワードが伝わりますよね。