アカウント名:
パスワード:
詳しくないからよくわからないが、結局は、ハードで読取り、デジタルデータにしてサーバーに送り認識させるんだろうけど、そのデジタルデータが盗まれたら終わりでは?パスワードとやってることは同じで形が変わっただけのような。
暗号化などで盗聴防止するのかもしれないが、そもそもの暗号化前のオリジナルデータが盗まれない保証はない。指紋だと、日頃いろんなものを触りまくってるわけで、パスワードを書いたポストイットをそこら中に貼りまくってるのと同じ気がする。(そこから生体認証できるくらいまで復元するのは大変だろうけど)
フィッシング詐欺があるように、生体デジタルデータを抜き取るハードも広まるだろうし、握手するだけで取られるかもしれない。網膜でも遠くからでも採れるようになるかもしれないし、寝てる間にとられるかもしれない(パスワード記憶なら盗られない)。
さらに、生体認証の場合、「変更が効かない」。一度盗まれたら死ぬまですり替わりが可能になる。パスワードの変更が効かない。セッション固定化してID盗まれるようなもの。それなら、まだICカードを基本とし、盗まれたらそのICは完全に無効にして新しいカードを使用する、というほうが安全な気がする。古いICカードに紐づいた情報をどうやって新しいICカードへどう移行させるか(どう本人確認するのか)が必要になるけど。
パスワードを記憶するのが一番簡単で安全なのかもしれない。
実物は知りませんが、恐らく読み取り装置自体をサーバが認証する手順が入っていて、信用できる読み取り装置が目の前の生体から取得したと言っている情報しか受け付けないようになっていると思います。
人間に例えるとこんな感じ:
子分「スズキと名乗るこれこれこういう奴が取引したいと言っています。」親分「そいつはスズキで間違いない。よし、分かった。」
謎男「スズキと名乗るこれこれこういう奴が取引したいと言っています。」親分「そいつはスズキで間違いないが、その前にお前は誰だ?」
騙し方としては、スズキ氏に変装して子分を騙すか、子分に変装して親分を騙すかになります。スズキ氏の特徴を知っていれば変装の助けにはなりますが、子分が変装をチェックできれば騙せません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
生体認証とか偽装は? (スコア:0)
詳しくないからよくわからないが、結局は、ハードで読取り、デジタルデータにしてサーバーに送り認識させるんだろうけど、
そのデジタルデータが盗まれたら終わりでは?
パスワードとやってることは同じで形が変わっただけのような。
暗号化などで盗聴防止するのかもしれないが、そもそもの暗号化前のオリジナルデータが盗まれない保証はない。
指紋だと、日頃いろんなものを触りまくってるわけで、パスワードを書いたポストイットをそこら中に貼りまくってるのと同じ気がする。(そこから生体認証できるくらいまで復元するのは大変だろうけど)
フィッシング詐欺があるように、生体デジタルデータを抜き取るハードも広まるだろうし、握手するだけで取られるかもしれない。
網膜でも遠くからでも採れるようになるかもしれないし、寝てる間にとられるかもしれない(パスワード記憶なら盗られない)。
さらに、生体認証の場合、「変更が効かない」。一度盗まれたら死ぬまですり替わりが可能になる。パスワードの変更が効かない。セッション固定化してID盗まれるようなもの。
それなら、まだICカードを基本とし、盗まれたらそのICは完全に無効にして新しいカードを使用する、というほうが安全な気がする。
古いICカードに紐づいた情報をどうやって新しいICカードへどう移行させるか(どう本人確認するのか)が必要になるけど。
パスワードを記憶するのが一番簡単で安全なのかもしれない。
Re: (スコア:0)
実物は知りませんが、恐らく読み取り装置自体をサーバが認証する手順が入っていて、信用できる読み取り装置が目の前の生体から取得したと言っている情報しか受け付けないようになっていると思います。
人間に例えるとこんな感じ:
子分「スズキと名乗るこれこれこういう奴が取引したいと言っています。」
親分「そいつはスズキで間違いない。よし、分かった。」
謎男「スズキと名乗るこれこれこういう奴が取引したいと言っています。」
親分「そいつはスズキで間違いないが、その前にお前は誰だ?」
騙し方としては、スズキ氏に変装して子分を騙すか、子分に変装して親分を騙すかになります。
スズキ氏の特徴を知っていれば変装の助けにはなりますが、子分が変装をチェックできれば騙せません。