アカウント名:
パスワード:
いつしか8文字のパスワードが当たり前になると、それらも収集されて総当りとかされるというイタチごっこなわけだから最終的には生態認証くらいしかないんじゃないかとも思ってる。
# もちろん自動生成と一致コストは跳ね上がるので無駄ではないのはわかってる
生体認証は、(盗まれ方によりますが)一度盗まれると変更できないので心配です。例えば指紋をグミにコピーできたりするらしいです。
パスワード総当たりに対しては有効だし、指紋を盗むハードルは高いと思いますが生体認証情報もデータベース化されたりするかもしれませんよ。
生体認証は、(盗まれ方によりますが)一度盗まれると変更できないので心配です。
身体の側(指とか虹彩とか)を盗むのはハードルが高いですし、もし直接盗まれたのなら盗まれたことがすぐに分かりますが(グミでの指紋コピーなんかはわからないけど…)、逆にシステム側に登録された身体の特徴データの側を盗まれてしまうことを考えると怖いですよね。なので、生体認証は「アカウントの代わり(=本人確認)」としては使えても、「パスワードの代わり」にはならない、又はしないほうがよいのではないか、と最近考えるようになりました。「アカウントを変えることは出来ません」というWebサイトはまだしも、「パスワードを変えることは出来ません」っていうWebサイトはちょっと使いたくないですよね…。
# まぁ、元コメでは「生態」認証って言ってるから、もしかすると「貴様の生き様を示せ!」ってシステムに要求されるのかもしれませんが…。
>生態認証
「風呂ではどこから先に洗いますか?」とか「朝食にいつも食べるものは?」とか聞かれるんだろか?(ただの「秘密の質問」ってだけのような気もw)
いや、あそこのホカ弁で唐揚げ弁当買って、こっちのコンビニでお茶買って、途中の喫煙所でタバコ2本吸ってからでないと認証通らないんだよ。
ATMの前でモンキーダンスのテンポを3分間狂わずやらんと認証通らないンすよ。
それなら 整体認証 ってのもお願いしたい。
#そろそろご厄介になりたいです
現状の生体認証の仕組みをよく知らないが、
> 生体認証は、(盗まれ方によりますが)一度盗まれると変更できないので心配です。
これ回避できない?
生体情報を100%使ってる訳じゃないんだから、認証情報生成前に、乱数なり使ってサンプリングの仕方変えれば・・・
生体認証システムというものであれば必ずそこまで手間掛けてくれることを保証してくれるんだったらよいけど、現状そこからはるかに隔たっているから個々人がグミその他の劣化コピーでアドホックに対処しないと割を食ってしまう。というあたりが高いハードルだと思います。
あえてざっくり例えるなら、キーボード全体が生体で、AとDとGとJとLで認証していたものを、QとEとTとUとOで認証するように変更できればいいんですよね。#・・・位置が上にズレてるだけだから盗生体でも認証されそうだ、というのはあくまで例なので棚に上げといて。
システムが一つしかないなら以前とは違うパターンにさえなってくれれば大丈夫ですが、複数システム利用しててそれぞれがバラバラに変更された場合、「たまたま以前盗まれたパターンと同一」になっちゃうかもしれないくらいがリスクかな(上で示したくらい組み合わせ数が多ければ杞憂ですが)。
人差し指が盗まれたなら中指を使えばいいじゃない、とかいうことにしちゃうと、どのサービスにどの指を充てたのか覚えてないといけないのが難点だしなぁ。
指紋や虹彩は通常に比べ詐称が困難なIDというだけであってパスワードに代わるものではないですよ。#生態認証ならパスワードになれるかもしれませんがw
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
この辺はキリがない (スコア:2)
いつしか8文字のパスワードが当たり前になると、
それらも収集されて総当りとかされるというイタチごっこなわけだから
最終的には生態認証くらいしかないんじゃないかとも思ってる。
# もちろん自動生成と一致コストは跳ね上がるので無駄ではないのはわかってる
生態認証 (スコア:0)
生体認証は、(盗まれ方によりますが)一度盗まれると変更できないので心配です。
例えば指紋をグミにコピーできたりするらしいです。
パスワード総当たりに対しては有効だし、指紋を盗むハードルは高いと思いますが
生体認証情報もデータベース化されたりするかもしれませんよ。
Re: (スコア:0)
身体の側(指とか虹彩とか)を盗むのはハードルが高いですし、もし直接盗まれたのなら盗まれたことがすぐに分かりますが(グミでの指紋コピーなんかはわからないけど…)、逆にシステム側に登録された身体の特徴データの側を盗まれてしまうことを考えると怖いですよね。
なので、生体認証は「アカウントの代わり(=本人確認)」としては使えても、「パスワードの代わり」にはならない、又はしないほうがよいのではないか、と最近考えるようになりました。
「アカウントを変えることは出来ません」というWebサイトはまだしも、「パスワードを変えることは出来ません」っていうWebサイトはちょっと使いたくないですよね…。
# まぁ、元コメでは「生態」認証って言ってるから、もしかすると「貴様の生き様を示せ!」ってシステムに要求されるのかもしれませんが…。
Re: (スコア:0)
>生態認証
「風呂ではどこから先に洗いますか?」とか「朝食にいつも食べるものは?」とか聞かれるんだろか?
(ただの「秘密の質問」ってだけのような気もw)
Re:生態認証 (スコア:2)
いや、あそこのホカ弁で唐揚げ弁当買って、
こっちのコンビニでお茶買って、
途中の喫煙所でタバコ2本吸ってからでないと
認証通らないんだよ。
Re:生態認証 (スコア:1)
ATMの前でモンキーダンスのテンポを3分間狂わずやらんと認証通らないンすよ。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re: (スコア:0)
それなら 整体認証 ってのもお願いしたい。
#そろそろご厄介になりたいです
Re: (スコア:0)
現状の生体認証の仕組みをよく知らないが、
> 生体認証は、(盗まれ方によりますが)一度盗まれると変更できないので心配です。
これ回避できない?
生体情報を100%使ってる訳じゃないんだから、認証情報生成前に、乱数なり使ってサンプリングの仕方変えれば・・・
Re:生態認証 (スコア:1)
生体認証システムというものであれば必ずそこまで手間掛けてくれることを保証してくれるんだったらよいけど、
現状そこからはるかに隔たっているから個々人がグミその他の劣化コピーでアドホックに対処しないと割を食ってしまう。
というあたりが高いハードルだと思います。
Re:生態認証 (スコア:1)
あえてざっくり例えるなら、キーボード全体が生体で、AとDとGとJとLで認証していたものを、QとEとTとUとOで認証するように変更できればいいんですよね。
#・・・位置が上にズレてるだけだから盗生体でも認証されそうだ、というのはあくまで例なので棚に上げといて。
システムが一つしかないなら以前とは違うパターンにさえなってくれれば大丈夫ですが、複数システム利用しててそれぞれがバラバラに変更された場合、「たまたま以前盗まれたパターンと同一」になっちゃうかもしれないくらいがリスクかな(上で示したくらい組み合わせ数が多ければ杞憂ですが)。
人差し指が盗まれたなら中指を使えばいいじゃない、とかいうことにしちゃうと、どのサービスにどの指を充てたのか覚えてないといけないのが難点だしなぁ。
Re: (スコア:0)
指紋や虹彩は通常に比べ詐称が困難なIDというだけであってパスワードに代わるものではないですよ。
#生態認証ならパスワードになれるかもしれませんがw