パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

生体認証を使うキャッシュカードが2陣営に」記事へのコメント

  • by FTNS (17738) on 2005年01月31日 12時41分 (#686631)
    ...誰も互換性の心配はしないの?
    強力な認証をする事自体は必要だけど、互換性が無くなったら
    他行のATMで預金を下ろせなくなるけど。
    それにDebitはどうすんの?

    まだまだこの問題は揉めそうですね。
    --
    --- de FTNS.
    • by suirei (25256) on 2005年02月01日 9時36分 (#686967) 日記
      東京三菱 [btm.co.jp]の紹介ページを見る限り、「同行の」対応/専用ATM又は窓口以外ではキャッシュ機能は一切使えなくなる様子なのでDebitも対応機器が出るまでは使えなさそうですね。
      クレジット機能が付加されているのはそのような利便性の問題からきている可能性が高そうです。

      ただICカード自体の互換性については標準化されているらしい [dnp.co.jp]ので、将来的にはICカードに掌と指の両方の特徴点情報を記録させる方法で、どちらの部位を使った認証にも対応できるかもしれません。
      #銀行さんがどういうつもりなのかは知りませんが。

      とはいえ足並みがばらばらですので相互接続については見切り発車というかあんまり考えていない、感が強くしますね。

      ##一部勘違いしている人がいそうなので念の為補足。
      ##銀行の口座を操作するのに必要な情報がICカード内に保存され、
      ##掌などの認証はICカード内の情報にアクセスする為に使用されます。
      ##オンラインで特徴点などが飛ぶわけではありません。
      親コメント
      • >##一部勘違いしている人がいそうなので念の為補足。
        >##銀行の口座を操作するのに必要な情報がICカード内に保存され、
        >##掌などの認証はICカード内の情報にアクセスする為に使用されます。
        >##オンラインで特徴点などが飛ぶわけではありません。

        ということは、以下の手順でスキミングできますね。
        • 掌紋による認証をプルートフォースアタックで破る。
        • 口座情報を取り出す。
        • 偽造カードに口座情報と、引き出し担当者の掌紋データを入れる。
        • あとは普通に預金を引き出すだけ。
        掌紋情報がどれくらいの鍵長になるのかが安全性の指標になる
        でしょうね。掌紋情報のbit数=鍵長ではありません。誤差を許容
        するので掌紋情報のbit数>鍵長となります。掌紋情報というもの
        は偏りがありそうですから、掌紋情報のbit数>>鍵長となるケース
        もあるでしょう。
        また口座情報が容易に推測できるような物なら、偽造カードが
        簡単に作れてしまいますね。
        --
        --- de FTNS.
        親コメント
        • まずブルートフォースアタックについてですが、
          PIN(パス)つきICカードって使った事ありませんか?FOMAカードも
          その類ですが。基本的にはあれが生体情報に置き換わっただけです。
          PINの入力に規定された回数失敗するとロックされます。
          ロックを解除する用のPINも別途提供されますが、これも規定された回数失敗すると完全にロックされます。恐らく何も反応しなくなるでしょう。
          #スマートカードというかCPUを積んでない、あるいは簡単な機能のみの場合はリーダなど読み取り機器側でロックするかもしれません。

          あとはチップをばらす方法もないわけではありませんが、よほどの準備をしていないとばらした時点でデータは消去されます。準備をしていたところで100%のデータの再現はできたという例は寡聞にして知りません。

          なお東京三菱の場合、静脈+パスワードみたいなので口座情報のみでも不可です。認証に一要素追加されたと思えば特にセキュリティが甘くなった、という事はないです。
          #ついでに鍵長の話がたびたび出ますので。同銀行のカードでは
          #RSA1024bitまで対応しているそうです。

          他の銀行は調べてないのでわかりませんが。。パスワード不要とかいってたらそれはそれで危ないかもしれませんねぇ。。
          親コメント
        • まさかカード紛失に1年気づかない阿呆はいないだろうから、最大計算時間を1年とすると、1回の結果を返すのに 0.01 秒くらいとして、1年(365日)で 3153600000(31億5360万)回の結果が得られます。
      • by Anonymous Coward
        東京三菱はjDebitに参加してない [debitcard.jp]んですよね。 その分少しは対応が楽なのかもしれません。 コンビニの方の問題は残りますけれど。
    • by Sakura Avalon (12557) on 2005年01月31日 21時12分 (#686804)
      それが一番の問題だと思います。結局どんな認証方式を採用したにせよ、それにしたがために「オンライン接続でどこの銀行でもおろせる」メリットは失われてしまいかねません。もちろん現在の磁気カード+4桁暗証みたいに新しい認証方式を全銀行がそろって導入した場合は別ですが。
      互換性といえば、東京三菱銀行はスーパーICカード専用のATMを「全有人店舗」に配備しましたが、本日行ってみると月末なのでATMにはズラリと行列していたにも関わらずスーパーICカード専用のだけはず~っと空いたままでした。両用にしていれば済んだものを、これではATMが(従来機種を置き換えているため)1台減らされたにも等しい状況です。なんか普及せずに消えてゆくICカード公衆電話を思い出してしまいました。
      親コメント
      • それって、年会費を払っているスーパーICカード所有者に対する優遇サービス乃至は差別化だと思うのですが。
        スーパーICカードを持っている人をATMで並ばせないためには、スーパーICカード専用ATMをガラガラの状態に保つ必要があるのではないかと。

        ところで、引き合いに出しているICカード公衆電話は、磁気カードに負けたわけではなく、携帯電話に負けたのでまた違うと思いますが。
        --
        written by こうふう
        親コメント

物事のやり方は一つではない -- Perlな人

処理中...