https://www.fe-siken.com/kakomon/21_aki/pm04.html

些細な疑問なのですが教えてください。

この最後の問題で、チャレンジレスポンス認証とパスワード認証は盗聴されたら不正ログインされることは分かったのですが、
逆にトークン方式は盗聴されても不正ログインできないため、最強なんですか？？
トークン方式でも不正ログインされる場合はあるのでしょうか？

ここでいうトークンがワンタイムパスワード（1回こっきりのパスワード）である前提でいうと、ワンタイムパスワードが変わるのはOTPトークンを発行してから入力が済んだ後なわけで、発行時点から入力するまでの間にそのパスワードを知られたらおしまいなわけです。
だから、メールとかでパスワードを受けとると、マルウェアが入ってたら攻撃者にWebメールのアカウント情報が送信されてしまい、
攻撃者は先に入手した正規利用者のアカウントを使って当該システムにログインして、ついでにWebメールにもログインして送信されたワンタイムパスワードを利用する・・・というのは2013年にすでに忠告されましたが未だに変わっていません。
そんなわけで、銀行とかも物理トークンっていって小さい計算機みたいのを貸してて、それをUSBで繋いでパスワード認証するとかしてるんですよ。

なお、物理トークンならいいんか？っていうと、物理トークンの計算結果を盗んでまんまマルウェアが打ったテイにするマルウェアとかもあるにはあるので、なにが最強か、はあんまり重要じゃなく、なにがマシか、でみてください。

物理トークンも物理トークンそのものを盗まれてしまえばワンタイムパスワードを使い放題ですし、（現実的ではありませんが）何らかの方法で本問でいうところの関数gを知ることができれば、好きな時にパスワードを生成できてしまいます。

また、この手のトークンで生成されるパスワードはそんなに桁数があったり、文字種があるわけでもない（そもそも桁数や文字種が多すぎると、PC操作に慣れていない人は入力し終わる前にワンタイムパスワードが変わってしまいます）ので、たくさんのIDと「0000000」のパスワードの組を入力して通ればラッキーという攻撃も考えられます。いわゆるリバースブルートフォース攻撃というやつです。

そのため、トークン方式単体でアクセス管理することは少なく、一般的なパスワード（知っている認証）+トークン（持っている認証）の二段階認証が使われます。

お二人とも詳しくありがとうございます！！

GinSanaさん
発行時点から入力するまでの間にそのパスワードを盗まれるとき、物理トークンの計算結果を盗まれるとダメなんですね、トークン方式は最強なのではなく、パスワード認証の中で一番ましなほうだと覚えておきます！

KanaSatoさん
何らかの方法で関数gを知ることができれば、好きな時にパスワードを生成できてしまうのですね、
分かりました！
リバースブルートフォース攻撃の可能性と二段階認証をするという具体的な解決策をありがとうございます！！