アカウント名:
パスワード:
こうした行動バイオメトリクス認証が本当に安全か疑問を持った。そこで、Torネットワークを使用した状態で金融取引を行い、行動バイオメトリクス登録した。その後、Google Chromeに切り換えて金融取引サイトにログインしたところ、金融取引サイトはユーザー認証に成功したという
接続環境が違うと認証失敗する認証システムとか意味が無いよ。行動バイオメトリクスのみで、それも認証を目的としない行動で個人を特定できなければ問題ない。その辺の検証ゼロで何かを証明した気になるな。
なんで認証を目的とした行動なら個人を特定出来ても問題ないと思うのだろうか。個人特定されないために別アカ使ってたら特定はされたくないだろう。あと、なんで認証で特定出来たとしても認証以外なら特定不能と思えるんだろう。行動バイオメトリクスのみで特定したとは書かれてないが、そうなのかもしれない。そうではない、認証以外なら特定不能と検証したわけでもないでしょ?
このシステムで分類できるパターン数が1000種程度だった場合アカウントが違えば特定は不可能です。その程度の分類数でも「認証時の補助桁として」は有効に使える。揺らぎへの対応含めたら桁数は減るしね。また、入力する文字列が違うだけでも変動するので変動しない特徴量を抽出するとなればタイプ量もバカにならない。認証の場合は特定文字列時の特徴だけ取れば良いけど、トラッキングではそうも行かない。難易度がケタ違いに上がる。そういった個人特定につながらない可能性を一切検証もせずに胡散臭いアドオンを押し付けてくるとか胡散臭すぎる。パスワード入力欄に干渉するアドオンとかパスワード盗むのも余裕なんだし余程のリスクじゃなきゃ信用できんよ。
「検証したわけでもない」というならこの自称セキュリティ研究者も「認証以外の状況で」「個人を特定」できると検証していない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
は? (スコア:0)
接続環境が違うと認証失敗する認証システムとか意味が無いよ。
行動バイオメトリクスのみで、それも認証を目的としない行動で個人を特定できなければ問題ない。
その辺の検証ゼロで何かを証明した気になるな。
Re:は? (スコア:0)
なんで認証を目的とした行動なら個人を特定出来ても問題ないと思うのだろうか。
個人特定されないために別アカ使ってたら特定はされたくないだろう。
あと、なんで認証で特定出来たとしても認証以外なら特定不能と思えるんだろう。
行動バイオメトリクスのみで特定したとは書かれてないが、そうなのかもしれない。
そうではない、認証以外なら特定不能と検証したわけでもないでしょ?
Re: (スコア:0)
このシステムで分類できるパターン数が1000種程度だった場合アカウントが違えば特定は不可能です。
その程度の分類数でも「認証時の補助桁として」は有効に使える。揺らぎへの対応含めたら桁数は減るしね。
また、入力する文字列が違うだけでも変動するので変動しない特徴量を抽出するとなればタイプ量もバカにならない。
認証の場合は特定文字列時の特徴だけ取れば良いけど、トラッキングではそうも行かない。難易度がケタ違いに上がる。
そういった個人特定につながらない可能性を一切検証もせずに胡散臭いアドオンを押し付けてくるとか胡散臭すぎる。
パスワード入力欄に干渉するアドオンとかパスワード盗むのも余裕なんだし余程のリスクじゃなきゃ信用できんよ。
「検証したわけでもない」というならこの自称セキュリティ研究者も「認証以外の状況で」「個人を特定」できると検証していない。