アカウント名:
パスワード:
スマホの生体認証ってアプリ利用時にロック解除と同等の指紋センサータッチあたりをやるって話だけど、「生体認証を使って」みたいな言い方は毎回違和感ある。パスワード管理アプリとかが「生体認証でパスワードを保護しています」みたいなの多い。この言い方だと例えば指紋認証から特徴点を抽出してそのハッシュを鍵としてエンドツーエンド暗号化している、みたいなイメージだが実際は単なるアプリ上のロック解除手続き。別に難しい事じゃなくてパスワード管理アプリの他にEvernoteや決済手続きのタイミングとかでもやってる。
スマホ一体化ってのも要するにNFCアプリ(ISO/IEC 14443 Type B?)として実装するって話じゃないの?別に良い事だと思うし、こないだの接触管理アプリみたくいざ出てみたら別に大げさに騒ぐほどのアプリじゃないみたいな結果になると思うな。政府のアプリをスマホに入れたくないってならカードとして持ち運べばいいし。そもそも令状を取れる警察を想定するなら、それより気を付けないといけない要素が多過ぎる。
スマホの指紋ロックやPINコードはパスワード全桁の人前での全桁入力を避けるためのものだよな。指紋を採取したりPINを覗き見たりしても、その盗んだ情報でクラウドにログインしたりはできないというのがミソ。
# エンドツーエンドの使い方間違ってるぞっと
MSさん曰く「パスワードよりPINコードのほうが安全 [microsoft.com]」
#未だに理屈が良くわからんのでAC
誰も Dana Huang 氏の機械翻訳が「西村」であることにツッコミを入れてない…
オンラインでの Windows Hello for Business PIN のセキュリティがパスワードよりも安全である理由については、西村を参照してください。
Watch Dana Huang explain why a Windows Hello for Business PIN is more secure than a password.
支持してるわけでもないけど、理屈としては、
盗まれる機会が少ない。そのハードウェア専用の鍵であり、通信にのることはない(オンライン上の何かの解錠につかうわけじゃないから)ということで、ネットワーク上で入力が傍受されたり、認証サーバーになんらかの形で保存される可能性のあるパスワードよりも盗まれにくい。
盗まれてもハードウェアも盗まないと使い道がない。フィッシングで入力を盗まれたり、レーザー盗聴器でキーボードの打鍵音から傍受されたり、リモート手段でPINが盗まれたとしても、そのPINが設定されているハードウェアが盗まれるまでは価値がない。
物理的な例だとマスターキーやら社員証みたいなものはいろんな部屋に入れるから盗まれると被害が大きいが、自分の家のトイレの鍵は盗まれても使い道がないので被害が少ないみたいな感じかなぁ。
ただ、使いまわしたパスワードと同じ文字列をPINに採用した場合は説得力は大幅に減るとは思うけど、そこは別の問題としているのだと思う。だから最初は4桁数字だったのかなとか思う(強制的にパスワードとは別のものにさせるため)。
まぁハードウェアが取られたらパスワードどころじゃないし、PINと同じパスワードだったからっていうのはそれはPINの問題じゃなくて使いまわしの問題だよね。
だったら「ハードウェア専用アカウントよりMicrosoftアカウントのほうが危険」て書けばいいのにね。昔のWindowsはMicrosoftアカウントのログインなんてなかったのに。
このコメントを見逃していた。
そもそも生体情報で「認証」を名乗ること自体思い上がりも甚だしい。常時周囲へ公開され、全用途で共通で、流出確認時も変更不可で、送受信の暗号化も無しで、軽微な誤差も許容され、大体は可逆形式で登録される。キーの取り扱いが必ず最低なクソ運用になる事が約束されているのに、そんな鍵運用のシステムが高セキュリティを名乗るとか冗談抜きでやめてくれ。ドラマの中の謎GPSみたいな誤解の塊みたいなのを現実の、セキュリティ部分でやらかすな。
コインで開けれるトイレの鍵みたいな、「一応鍵を掛けた体裁にするけど知識があれば開けられる」程度の簡易ロックに毛が生えた位の扱いが妥当な筈だ。
その鍵が利用者の生来の物だと間違いなく証明できる運用の場合は話が変わってくるが、基本的にそんなの無いしな。
スマホの場合なら生体認証が通らない場合はPINやパターンでロック解除できるから、セキュリティの強化としては使われてないね。面倒な手間の省略が主で、それに伴いパターンがバレる機会を減らすという意味もある。ガラスに残ってたりするし。寝ている間は無防備になったりするけど。
元コメだとなんかパスワード的に生体認証が使われてるイメージみたいだけど、多分そんなことはない。指静脈認証くらいになるとATMでも使われてたりするけど。
スマホあたりだとまぁまぁ真面目にやってて再起動後はパス必須とかにもなってたりするけど、逆に言うとスマホなみに数出てるシステムでようやく真面目になる程度なんだよね。
入退室管理や金庫関連は目を覆いたくなるようなのがちょくちょく居るよ。
> 「生体認証でパスワードを保護しています」みたいなの多い
生体認証使ってるならそのAPI使う関係でTPMを使った暗号化がパスワードになされてるんじゃね?知らんけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
「生体認証など」 (スコア:0)
スマホの生体認証ってアプリ利用時にロック解除と同等の指紋センサータッチあたりをやるって話だけど、「生体認証を使って」みたいな言い方は毎回違和感ある。
パスワード管理アプリとかが「生体認証でパスワードを保護しています」みたいなの多い。
この言い方だと例えば指紋認証から特徴点を抽出してそのハッシュを鍵としてエンドツーエンド暗号化している、みたいなイメージだが実際は単なるアプリ上のロック解除手続き。
別に難しい事じゃなくてパスワード管理アプリの他にEvernoteや決済手続きのタイミングとかでもやってる。
スマホ一体化ってのも要するにNFCアプリ(ISO/IEC 14443 Type B?)として実装するって話じゃないの?
別に良い事だと思うし、こないだの接触管理アプリみたくいざ出てみたら別に大げさに騒ぐほどのアプリじゃないみたいな結果になると思うな。
政府のアプリをスマホに入れたくないってならカードとして持ち運べばいいし。
そもそも令状を取れる警察を想定するなら、それより気を付けないといけない要素が多過ぎる。
Re: (スコア:0)
スマホの指紋ロックやPINコードはパスワード全桁の人前での全桁入力を避けるためのものだよな。
指紋を採取したりPINを覗き見たりしても、その盗んだ情報でクラウドにログインしたりはできないというのがミソ。
# エンドツーエンドの使い方間違ってるぞっと
Re: (スコア:0)
MSさん曰く「パスワードよりPINコードのほうが安全 [microsoft.com]」
#未だに理屈が良くわからんのでAC
Re:「生体認証など」 (スコア:2)
誰も Dana Huang 氏の機械翻訳が「西村」であることにツッコミを入れてない…
オンラインでの Windows Hello for Business PIN のセキュリティがパスワードよりも安全である理由については、西村を参照してください。
Watch Dana Huang explain why a Windows Hello for Business PIN is more secure than a password.
Re:「生体認証など」 (スコア:1)
支持してるわけでもないけど、理屈としては、
盗まれる機会が少ない。
そのハードウェア専用の鍵であり、通信にのることはない(オンライン上の何かの解錠につかうわけじゃないから)ということで、
ネットワーク上で入力が傍受されたり、認証サーバーになんらかの形で保存される可能性のあるパスワードよりも盗まれにくい。
盗まれてもハードウェアも盗まないと使い道がない。
フィッシングで入力を盗まれたり、レーザー盗聴器でキーボードの打鍵音から傍受されたり、
リモート手段でPINが盗まれたとしても、そのPINが設定されているハードウェアが盗まれるまでは価値がない。
物理的な例だとマスターキーやら社員証みたいなものはいろんな部屋に入れるから盗まれると被害が大きいが、
自分の家のトイレの鍵は盗まれても使い道がないので被害が少ないみたいな感じかなぁ。
ただ、使いまわしたパスワードと同じ文字列をPINに採用した場合は説得力は大幅に減るとは思うけど、
そこは別の問題としているのだと思う。
だから最初は4桁数字だったのかなとか思う(強制的にパスワードとは別のものにさせるため)。
まぁハードウェアが取られたらパスワードどころじゃないし、
PINと同じパスワードだったからっていうのはそれはPINの問題じゃなくて使いまわしの問題だよね。
Re: (スコア:0)
だったら
「ハードウェア専用アカウントよりMicrosoftアカウントのほうが危険」
て書けばいいのにね。
昔のWindowsはMicrosoftアカウントのログインなんてなかったのに。
Re: (スコア:0)
Re:「生体認証など」 (スコア:1)
このコメントを見逃していた。
Re: (スコア:0)
そもそも生体情報で「認証」を名乗ること自体思い上がりも甚だしい。
常時周囲へ公開され、全用途で共通で、流出確認時も変更不可で、
送受信の暗号化も無しで、軽微な誤差も許容され、大体は可逆形式で登録される。
キーの取り扱いが必ず最低なクソ運用になる事が約束されているのに、
そんな鍵運用のシステムが高セキュリティを名乗るとか冗談抜きでやめてくれ。
ドラマの中の謎GPSみたいな誤解の塊みたいなのを現実の、セキュリティ部分でやらかすな。
コインで開けれるトイレの鍵みたいな、
「一応鍵を掛けた体裁にするけど知識があれば開けられる」
程度の簡易ロックに毛が生えた位の扱いが妥当な筈だ。
その鍵が利用者の生来の物だと間違いなく証明できる運用の場合は話が変わってくるが、基本的にそんなの無いしな。
Re: (スコア:0)
スマホの場合なら生体認証が通らない場合はPINやパターンでロック解除できるから、セキュリティの強化としては使われてないね。
面倒な手間の省略が主で、それに伴いパターンがバレる機会を減らすという意味もある。ガラスに残ってたりするし。
寝ている間は無防備になったりするけど。
元コメだとなんかパスワード的に生体認証が使われてるイメージみたいだけど、多分そんなことはない。
指静脈認証くらいになるとATMでも使われてたりするけど。
Re: (スコア:0)
スマホあたりだとまぁまぁ真面目にやってて
再起動後はパス必須とかにもなってたりするけど、
逆に言うとスマホなみに数出てるシステムでようやく真面目になる程度なんだよね。
入退室管理や金庫関連は目を覆いたくなるようなのがちょくちょく居るよ。
Re: (スコア:0)
> 「生体認証でパスワードを保護しています」みたいなの多い
生体認証使ってるならそのAPI使う関係でTPMを使った暗号化がパスワードになされてるんじゃね?
知らんけど。