アカウント名:
パスワード:
スマホの生体認証ってアプリ利用時にロック解除と同等の指紋センサータッチあたりをやるって話だけど、「生体認証を使って」みたいな言い方は毎回違和感ある。パスワード管理アプリとかが「生体認証でパスワードを保護しています」みたいなの多い。この言い方だと例えば指紋認証から特徴点を抽出してそのハッシュを鍵としてエンドツーエンド暗号化している、みたいなイメージだが実際は単なるアプリ上のロック解除手続き。別に難しい事じゃなくてパスワード管理アプリの他にEvernoteや決済手続きのタイミングとかでもやってる。
スマホ一体化ってのも要するにNFCアプリ(ISO/IEC 14443 Type B?)として実装するって話じゃないの?別に良い事だと思うし、こないだの接触管理アプリみたくいざ出てみたら別に大げさに騒ぐほどのアプリじゃないみたいな結果になると思うな。政府のアプリをスマホに入れたくないってならカードとして持ち運べばいいし。そもそも令状を取れる警察を想定するなら、それより気を付けないといけない要素が多過ぎる。
MSさん曰く「パスワードよりPINコードのほうが安全 [microsoft.com]」
#未だに理屈が良くわからんのでAC
支持してるわけでもないけど、理屈としては、
盗まれる機会が少ない。そのハードウェア専用の鍵であり、通信にのることはない(オンライン上の何かの解錠につかうわけじゃないから)ということで、ネットワーク上で入力が傍受されたり、認証サーバーになんらかの形で保存される可能性のあるパスワードよりも盗まれにくい。
盗まれてもハードウェアも盗まないと使い道がない。フィッシングで入力を盗まれたり、レーザー盗聴器でキーボードの打鍵音から傍受されたり、リモート手段でPINが盗まれたとしても、そのPINが設定されているハードウェアが盗まれるまでは価値がない。
物理的な例だとマスターキーやら社員証みたいなものはいろんな部屋に入れるから盗まれると被害が大きいが、自分の家のトイレの鍵は盗まれても使い道がないので被害が少ないみたいな感じかなぁ。
ただ、使いまわしたパスワードと同じ文字列をPINに採用した場合は説得力は大幅に減るとは思うけど、そこは別の問題としているのだと思う。だから最初は4桁数字だったのかなとか思う(強制的にパスワードとは別のものにさせるため)。
まぁハードウェアが取られたらパスワードどころじゃないし、PINと同じパスワードだったからっていうのはそれはPINの問題じゃなくて使いまわしの問題だよね。
だったら「ハードウェア専用アカウントよりMicrosoftアカウントのほうが危険」て書けばいいのにね。昔のWindowsはMicrosoftアカウントのログインなんてなかったのに。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
「生体認証など」 (スコア:0)
スマホの生体認証ってアプリ利用時にロック解除と同等の指紋センサータッチあたりをやるって話だけど、「生体認証を使って」みたいな言い方は毎回違和感ある。
パスワード管理アプリとかが「生体認証でパスワードを保護しています」みたいなの多い。
この言い方だと例えば指紋認証から特徴点を抽出してそのハッシュを鍵としてエンドツーエンド暗号化している、みたいなイメージだが実際は単なるアプリ上のロック解除手続き。
別に難しい事じゃなくてパスワード管理アプリの他にEvernoteや決済手続きのタイミングとかでもやってる。
スマホ一体化ってのも要するにNFCアプリ(ISO/IEC 14443 Type B?)として実装するって話じゃないの?
別に良い事だと思うし、こないだの接触管理アプリみたくいざ出てみたら別に大げさに騒ぐほどのアプリじゃないみたいな結果になると思うな。
政府のアプリをスマホに入れたくないってならカードとして持ち運べばいいし。
そもそも令状を取れる警察を想定するなら、それより気を付けないといけない要素が多過ぎる。
Re: (スコア:0)
MSさん曰く「パスワードよりPINコードのほうが安全 [microsoft.com]」
#未だに理屈が良くわからんのでAC
Re:「生体認証など」 (スコア:1)
支持してるわけでもないけど、理屈としては、
盗まれる機会が少ない。
そのハードウェア専用の鍵であり、通信にのることはない(オンライン上の何かの解錠につかうわけじゃないから)ということで、
ネットワーク上で入力が傍受されたり、認証サーバーになんらかの形で保存される可能性のあるパスワードよりも盗まれにくい。
盗まれてもハードウェアも盗まないと使い道がない。
フィッシングで入力を盗まれたり、レーザー盗聴器でキーボードの打鍵音から傍受されたり、
リモート手段でPINが盗まれたとしても、そのPINが設定されているハードウェアが盗まれるまでは価値がない。
物理的な例だとマスターキーやら社員証みたいなものはいろんな部屋に入れるから盗まれると被害が大きいが、
自分の家のトイレの鍵は盗まれても使い道がないので被害が少ないみたいな感じかなぁ。
ただ、使いまわしたパスワードと同じ文字列をPINに採用した場合は説得力は大幅に減るとは思うけど、
そこは別の問題としているのだと思う。
だから最初は4桁数字だったのかなとか思う(強制的にパスワードとは別のものにさせるため)。
まぁハードウェアが取られたらパスワードどころじゃないし、
PINと同じパスワードだったからっていうのはそれはPINの問題じゃなくて使いまわしの問題だよね。
Re: (スコア:0)
だったら
「ハードウェア専用アカウントよりMicrosoftアカウントのほうが危険」
て書けばいいのにね。
昔のWindowsはMicrosoftアカウントのログインなんてなかったのに。