パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

指紋読み取り装置をゼラチン指であっさり突破」記事へのコメント

  • by Anonymous Coward on 2002年05月18日 15時28分 (#94822)
    指紋認証に限らず、バイオメトリクスによる認証システムは、 他の認証手段、例えばパスワードと組み合わせると効果的ですが、 それだけではほとんど実用に耐えません。 バイオメトリクスに限らず、セキュリティ関係の製品を選ぶ時は 「これ一つで簡単セキュア」という宣伝は常に嘘だという事を覚えておくべきでしょう。
    • そうですね。
      10年前ぐらいに指紋認証やってた時から、そういう話はありました。

      補足(蛇足?)になりますが、指紋による照合には、指紋そのものの図形では無く、指紋の特徴(分岐点、端点など)を使います。(方式はその後増えてるかも知れないけど)
      だから、似た情報となる事はありえます。
      さらに、指紋の読み取りには指を載せたプリズムに光を当てて、その反射した画像を読み取ります。ですから、ゼラチンとか使えば、ごまかせる事も確かです。
      そういった前提があるから、複数の方式を組み合わせるわけですね。
      --
      masashi
      親コメント
    • ドイツのコンピュータ雑誌 Ct 最新号(02/11) [heise.de]も の問題を特集しています。PC 用の認証端末を様々な方法で欺く方法を紹介していま す。
      --
      佐藤亮一 in Frankfurt Germany
      親コメント
    • off topic になりますが

      本人が認証の現場にいなければならない認証方式って、安全性は高いのかもしれま せんが不便な一面も。休暇中にだれかが代わりに、、、という手が通用しませんか らね。だから、利用できる局面は案外限定されるのではないでしょうか。

      --
      佐藤亮一 in Frankfurt Germany
      親コメント
    • >バイオメトリクスによる認証システムは、他の認証手段、例えばパスワードと組み合わせると効果的ですが

      単体で使えないのはごもっともですが、
      「例えばパスワード」なんかと組み合わせると、使い勝手のあがりぐあいに比べて、
      安全性の下がり具合がひどすぎて、さらに使えなくなると思うですが、いかがでせうか?
      親コメント
      • その通りですね。
        バイオメトリクスが通らなかった場合に備えてバックアップパスワードなど作ってしまうと、そのシステムのセキュリティ強度はバイオメトリクスではなくそのパスワードに依存してしまいますね。
        ところがバックアップ用パスワードに複雑怪奇な覚えにくい物を利用するのはなかなか利用者の理解を得られない(っーか忘れられて役に立たない)ので、結局数字4桁とかになっちゃうなんてありがちですから....。
        それなのに「バイオメトリクスでセキュリティを確保している」という実体の無い「安心感」だけが一人歩きしてしまって、安易なパスワードに依存しているという現実に気づかなくなっちゃうんですよね。
        親コメント
        • >> バイオメトリクスが通らなかった場合に備えてバックアップパスワードなど作ってしまうと、

          ????なんか混乱してないですか?

          Hebikuzureさんは「バイオメトリクスとパスワードのいずれかで認証される」という意味に考えているようですが、普通は「バイオメトリクスによる認証
          • いやいや、通常の利用ではバイオメトリクスとパスワードのセットで認証するようなシステムでも、例えば指紋・掌紋だと怪我をしたような場合に備えて、バックアップ用に通称とは別のパスワードだけで認証できるようにする事が実際にはあるようです。
            と言うか、セキュリティ的にはその様な事は歓迎できなくても、実際に利用する側からはちょっとした事でバイオメトリクスの部分が通らなく、その都度いちいちセキュリティ管理部門の手を煩わすのが鬱陶しいし、管理部門は管理部門でしょっちゅう呼び出されたり対応させられたりするのが段々厭になってきて、結局「予備の」パスワードを設定しちゃったりする訳です。
            こうなるとそのシステムのセキュリティはただのバスワードシステムになり下がってしまう訳ですが、その事が正しく理解されない場合がままあるようですね....と言うのが先の投稿の趣旨です。
            ご理解いただけますでしょうか。
            親コメント
            • パスワードをバックアップとして用意する理由は、指紋認証は、1:1を前提とした突合せ処理ではない(指紋が似ているかどうか、ってことですね)ので「どの程度たしからしい場合に同じ指紋であると認識するのか?」という問題があって、「他人を正しいと認識してしまう率」「本人を本人であると正しく認識する率」の2つに注目しながら、装置や(利用者の教育可能なレベルを含めた)システム毎に判定のソフトウェア内部の閾値を設定していくのですが、中には読み取り装置との相性が悪い人(汗が多い人、脂ぎってる人とか、指紋が磨り減っちゃってるとか)で標準的な閾値では対応できない人(どうやっても認証されない人)が出てきてしまうからです。

              と、いうことらしいです。
               ← 自分で書いてるんですが、なんだか自信が...
              --
              -- LightSpeed-J
              親コメント
              • 建物関係で指紋認識を売りに来たときに、「手が荒れてしまう職業である清掃員についてはどうするか」と質問したら、やはりパスワード認証になっているようでした。
                指紋認識というシステムは機械認証のIDカード(もちろん無効管理を厳密にする必要がある)などと組み合わせて「本人出頭」を即時確認するのに使うもので、4桁パスワードよりは偽造しにくい…レベルのセキュリティに使うものという認識です。
                「会社ビルの通用口で役員にIDカードを要求せずに鍵を開けさせる」(指紋特徴の検索順を前に持っていけばすぐ認証できる)程度のおまけはつけられるそうですが、セキュリティレベルは下がりそうです。
                親コメント
      • これは「指紋認証がだめならパスワードで」ではなく、
        「指紋認証を通した次にパスワードを入れる」ということで、
        orではなくandで使えば安全性は下がらないと思うのですが。
        親コメント
        •  そもそも指紋認証といっても、指紋の全てを比較している訳でなく、指紋の中の分岐など一部のパターンを抽出して認識しているだけなので、絶対ではない。
          #装置の値段により、ピンキリだとは思いますが。

           例になるかは微妙だが、今ゲーセンで稼動中の麻雀格闘倶楽部 [http]ってゲームには、カード売買防止のためと思われる指紋認証が付いてるが、結構いいかげんな認証する時もあるらしい。
          #友人の指で通ったとか、別の指で通ったとか。

           こいつの場合は、指紋認証がある、と言うだけでカード売買はされていないようだから、目的は果たしてる。
           ついでに四桁のパスワードも入れさせられるので、まぁ、無難な仕組みかな?

           でも、登録した指にケガしたら遊べなくなるんだよな、、、
          親コメント
    • なんとなく、
      指紋: 触ったものから偽造
          声: 録音して偽造
      網膜: …?
      で、網膜の血管パターンは(比較的)安全なイメージを持って
      いたんですが、これって素人考えですかね?
      # 仮にくり抜いて持ってっても、寿命短そうだし
      親コメント
    • by take0m (4948) on 2002年05月20日 14時13分 (#95360) 日記
      外見はテンキー。

      液晶と指紋認証のハイブリッドデバイス。
      毎回配列が変わる数字を数桁押す。
      押しているときに指紋を読み取る。

      暗証番号と指紋のハイブリッド認証です。
      親コメント
      • by sato4 (4413) on 2002年05月20日 15時19分 (#95375) 日記
        外見はテンキー。

        外見はマウス、というよりマウスそのものなんだけど、ありますね。

        マウスで指紋認証した後、マウスで決まった動作をしたら 通過っていうのは作るのが簡単そう。

        親コメント

人生unstable -- あるハッカー

処理中...