パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

生体認証を使うキャッシュカードが2陣営に」記事へのコメント

  • by NaO (2854) on 2005年01月30日 17時37分 (#686354)
    最近マイクロソフトが指紋認証機器を出しましたが、ログオンには使えないものでした。ソフト上では簡単な話だと思うので、やはりグミの指なんかが使われるのが問題と考えているのでしょうか。
    静脈認証は赤外線で指や手の中の血管のパターンを認識するものだと思いますが、これも赤外線カメラなんかで撮影した血管のパターンをプリントして、手の代わりにかざしたらパスしてしまうような気もします。
    研究中でもいいのですけれど、何かこれだったら確実に認証できるといったようなものは無いのでしょうか。
    GATACAみたいに毎日血液からDNAチェック?
    • by cloudy (1160) on 2005年01月30日 17時55分 (#686358)
      生体認証の問題点: 一日に降ろせる金額の上限を設定できるようにした三井住友の方が現実的だと思います(もっともその三井住友、キャッシュカードと預金通帳の両方を盗まれると上限なしになる、というのはひどいです。通帳を入れても上限有効にしてほしい)。
      親コメント
      • 三井住友(One's Next)の場合、通帳を作らない事もできます。
        ネット上で管理すると、不便も感じません。

        ただたまに、通帳が必要になるので、通帳を作ってもらいに
        行かなくてはいけませんが。
        --
        romfffromのコメント設定
        AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
        親コメント
        • by Anonymous Coward on 2005年01月31日 0時27分 (#686494)
          ウチの親は以下のように管理。

          クレジットカードなどの支払い口座は、1ヶ月に必要な分
          しか入れておかない。旅行などの前だけ、額を増やしておく。
          多額な口座のキャッシュカードは作らない。
          通帳は貸金庫に。
          貸金庫は手書きのサインを必要とする形式で出入りするので、行員
          と顏をなるべく合わせるようにしている。

          そういう親の子である自分はこういう事件を聞くたびに、ポケット
          の中に数千万を管理するカードを入れてる人たちの気持ちがわかりません。
          自己管理以前にさまざまな既存システムへの過信のような気がして
          ならないからです。
          親コメント
        • by Anonymous Coward
          いいよねえ。20代か30代のあなたは。
          っていうかそういう不自由を強いる三井住友の考えがわからんのだけど。
          • by tosh11 (25798) on 2005年01月30日 21時25分 (#686438)
            残高が30万円以上ならば、One's Plusとほぼ同様のサービスになったと思います。私は学生なのでその講座を作れないのですが、残高がぎりぎりあるので、ATMの時間外の引出しに関しては手数料を取られたことはないです。 って、そういう話ではないですか?
            親コメント
            • by Anonymous Coward
              多分、20代30代のときは独身貴族を謳歌してたのに
              40代になってカァちゃんに財布握られて30万円も自分の金持てないよ、って話では。
          • Web通帳はOnes plus [smbc.co.jp]に加入すれば誰でも選択できますが? Ones style [smbc.co.jp]固有のサービスじゃないですよ
            親コメント
      • by Anonymous Coward on 2005年01月30日 22時13分 (#686449)
        > パスワードと違い、一度盗まれてしまうと交換することができない
        これが一番重要な特徴なんだが、判ってない人多いんだよな。一生涯変えることが出来ないという点では、パスワードではなくてユーザーIDなんだよ。例えばカードとバイオメトリクスを組み合わせて認証すると言うのは、二つのユーザーIDで認証するようなもんなんだよね。本当はバイオメトリクス認証とパスワードを組み合わせるといった使い方が正しい。

        #と言うわけで、いっそカードレスにならないもんか・・・
        親コメント
        • Re:バイオメトリクス (スコア:3, すばらしい洞察)

          暗証番号は物理媒体ではないので、盗まれたことに気がつかない(生年月日や電話番号などから類推されることもある)上にコピーも容易。
          生体情報は物理媒体を盗むことはかなり難しく、情報を抜き出したとしてもコピーを作ることが難しい。
          ICカードは物理媒体をコピーすることは(今のところ)難しく、カード←→ホスト間でやりとりされている情報を抜き出しても意味が無い。

          ICカードそのものを盗まれた場合はカードを無効にして新たなカードを発行することは出来る。
          # 磁気キャッシュカードでも新しいカードをATMに通せば古いカードは無効になる。

          盗難につながりにくいもの2つを組み合わせるのは当然ではないか。

          ついでに言うなら、暗証番号だって本人認証の一手段に過ぎないのだから、別に生体情報認証で取って代わっても不思議ではあるまい。
          --
          マラソンで二位を抜いたら何位?
          親コメント
          • 生体情報は物理媒体を盗むことはかなり難しく、情報を抜き出したとしてもコピーを作ることが難しい。
            #686471 [srad.jp]のような話もあるので,上記の部分はちょっとはずしているかと. たしかに,「ICカード+パスフレーズ」には指摘のような欠点があるので,どちらが優れているかの議論は難しいところですが,私は生体情報の「変更不能」という特徴は「パスフレーズの所有者に気づかれずに盗みだせる」という欠点以上の軽視できない欠点だと思います.
            --
            _.. ._._._ _... ._._._ ._. ._._._
            物は試しだ。コメントのしきい値を2にしてごらん
            親コメント
          • by BIWYFI (11941) on 2005年01月31日 20時30分 (#686794) 日記
            >暗証番号は物理媒体ではないので、盗まれたことに気がつかない

             生体認証も現行の方式では只のデータ列であって、物理媒体ではないことに注意すべし。

            >生体情報は物理媒体を盗むことはかなり難しく、情報を抜き出したとしてもコピーを作ることが難しい。

            のは、開発段階だけ。
            全ATMに搭載されるぐらい量産されれば、スキャナーの入手は容易。スキャナーさえあれば、適当な口実で握らせるだけで、変更出来ないので永久に使用可能な認証データが入手できる。
            偽造方法も、スキャナーの原理が判明すれば、作成は可能。

            で、キャッシュカードの暗証番号代わりに生体認証を使うのは最も愚かな方法。
            路地裏で、死なない程度にぶん殴って、キャッシュカードを分捕るついでに生体情報をスキャンすれば、IDとパスワードが同時に手に入る。あとは、手の平エミュレータを用意するだけ。
             擬似手の平も、裏ではすぐに出回るだろうから、犯罪者天国になるね。
            --
            -- Buy It When You Found It --
            親コメント
            • > 生体認証も現行の方式では只のデータ列であって、物理媒体ではないことに注意すべし。

              何言ってるのかさっぱりわかりません。スキャナの前に行って呪文を唱えれば生体認証を突破できるとでも? それともスキャナと認証システムの間に改竄マシンを挟むつもりですか?

              > 偽造方法も、スキャナーの原理が判明すれば、作成は可能。
              じゃあ作ってください。スキャナの原理はとっくに公開されてますから。
              --
              マラソンで二位を抜いたら何位?
              親コメント
        • by Anonymous Coward on 2005年01月30日 23時49分 (#686484)
          つまり指紋認証とピアノを組み合わせて、本人が正しく演奏しないとロックがはずれないようにすると…
          親コメント
        • > パスワードと違い、一度盗まれてしまうと交換することができない

          と言うデメリットの解決策になって無いですね。ICカードとパスワードなら不正使用された場合、双方とも再発行することが可能です。
          • by yu_raku (419) on 2005年01月31日 11時10分 (#686587)
            元の意見では、交換することができないこと自体はデメリットと捕らえてないと思いますよ。
            パスワードのほうを交換すればいいという話。
            ユーザIDが変更できないことは問題にはならないかと。

            問題なのは、バイオメトリクスをパスワードの代わりに使おうとすること。
            親コメント
      • 影武者 (スコア:2, すばらしい洞察)

        by LethocerusDeyrollei (25722) on 2005年01月31日 6時44分 (#686535)
         取り替えが効かないに関連して
         逆に、偶然一致する確率ってどれくらいなんでしょ。
         先に登録した大口顧客と区別できないパターンを持っているという理由(もちろん本人には理由非開示)で
        登録拒否なんていうことが合ったりして。

         大金持ちに顔ではなく血管が似ている人間が、本人の死後、
        相続税対策が終わるまで影武者として振る舞うような日が来るのだろうか。
        親コメント
      • by typer (9666) on 2005年01月30日 19時03分 (#686394) 日記
        生体認証の良いところ:
        • 簡単に渡せない、メモれない
        キャッシュカードには当てはまらないですけど、PCの場合、パスワードを書いたメモをディスプレィに張ったり、聞かれたらほいほい教えたりできなくなるって点は良いかも知れません。
        親コメント
      • 言い換えると、事故や急病で身体が不自由なときに他人に依頼できない。
        # 直接ものを作り出さない銀行が偉そうにして、羽振りもよいのはどうしてなのか。
    • by whelp (25685) on 2005年01月30日 23時04分 (#686471)
      半年ほど前に、生体認証で他人のフリは簡単だという記事を読んだことがあります。
      記事内でも触れられていましたが、認証機器を騙す手法に関しては、横浜国立大学情報セキュリティー学の松本勉教授率いる松本勉研究室 [ynu.ac.jp]の研究などが参考になります。

      静脈認証技術ですと、日立エンジニアリングの指静脈入退管理システム [hitachi-hec.co.jp]などのようなものがあるようですが、NaOさんが述べられているように
      > 赤外線カメラなんかで撮影した血管のパターンをプリントして、手の代わりにかざしたらパスしてしまうような気もします
      という不安面も否めないと思います。

      如何なる認証も完璧ではないと思います。単体の認証ではなく、全く違う認証方法を複数個組み合わせる手法が必要なのかもしれませんね。
      親コメント
      • by NaO (2854) on 2005年01月31日 12時14分 (#686614)
        私が「手の代わりにかざしたらパスしてしまうような気もします」と書いたのは、指紋に比べて安心感のあった虹彩認証 [nifty.com]がこんな簡単にパス [yomiuri.co.jp]されちゃうのを知ったからです。ちょっと衝撃があったなぁ。それで単に静脈パターンをレーザープリンタでプリントした紙でいけちゃうのではないか(カーボンが赤外線を吸収して赤外線カメラでは黒く見えるのではないか)…なんて思ったわけです。まさかそんな簡単にいくとは思ってないですけどね。作業の手間はともかく、もし騙す方法が作られちゃえば代えるものが無いですし。関係ないけど衝撃的といえば高性能Uロックはボールペンで開けられる! [big.or.jp]もびっくりだった。

        静脈や虹彩は指紋と違って跡が残らないとので、コップに残った指紋からグミの指を作られるなんてことは簡単には無さそうで、その分はまあ安心かなぁなんて思ったり。静脈や虹彩を撮影されるなんて特殊な状況なら、やられてるほうも分かるでしょう。この認証が世間で一般的に使われる様になったら、クレジットカードのスキミングみたいなことも問題になるかもしれませんが。怪しげな店で認証したデータが流出して…とか。

        認証を組み合わせるとすれば、時間方向で変化があるかどうか?で、写真じゃなく生体なのか?を認識できればいいかなあなんて妄想したりも。虹彩なら瞳孔反射があるか(先のURLによると実際にやってるものもあるそうで)、静脈なら体温と脈動があるか?を同時にチェックするとかね。死体の手なんかだと生きてないことがばれてダメだとか。でも手のひらに写真を貼り付けたり、瞳孔の分だけ丸く穴を開けた写真で生体と認識されてしまうだけかも…。

        昔筆跡をチェックする認証?機器がありましたが(どこ行っちゃったんでしょう。もう普通に使われてるのかな?)、あれは時間方向の筆圧変化も検知してるとかで。サインの形状だけじゃなく動的に変化する成分の特徴を真似て機器を騙すのは中々難しいだろうと思いました。で、動的に変化して、なおかつ個人特有のパターンがあるもの…と考えたのですが何も思いつきませんでした。

        あと数年もすれば、生体認証機器は公的機関で既知のクラック方法を(グミの指とか撮影した虹彩とか)を試して、それで騙せないというお墨付きが必要になってくるかもしれません。騙せた数でレベルを付けるとか。業界でも生体認証機器の検査機関を作る動きってのは当然あるのでしょうけれど(既にあったりしたらごめんなさい)。今はメーカーの出してくる数字や言葉を信じるしか無いですから。
        親コメント
      • by Anonymous Coward on 2005年01月31日 0時14分 (#686490)
        フェイスって映画で、犯人と刑事が顔を入れ換えてたけど、映画では奥さんと自分しか知り得ない事実を話して自分が旦那であることを証明してましたね。もし奥さんが、旦那との間に生じた出来事の一部始終を他人に話すような人だったら証明にはならなかったということで、認証って認証する人とされる人の間に、お互いのみが知り得る事実が存在しなければ成立しないんじゃないかな。 クローン技術が完成するとバイオメトリクス認証自体が完全に否定される。そうなると、自分が自分であることの証明ってどうやったらできるんだろ? お互いのみが知り得る事実でお互いは確認できても、それを他人に証明することはできない。 あ゛ぁぁぁぁ、意外と認証って難しいぃぃぃぃ!
        親コメント
    • by Yggdra (14017) on 2005年01月30日 18時03分 (#686362)
      Windows だけならログオンも行けるみたいですよ<MS Fingerprint Reader
      http://www.itmedia.co.jp/pcupdate/articles/0501/20/news096.html [itmedia.co.jp]

      Windows ドメインへのログオンはダメ [microsoft.com]、という制限はあるようだけど。

      (UNIX 系だとどうなのかなあ。MSのページには「指紋リーダーは、セキュリティを強化するための機能ではありません」と書いてあるし、cloudy さんの言にあるように鍵を変えられないという根本的な問題点もあるから、サーバ前提の UNIX 系OSでは使うな、ということなのかもしれないけど)
      親コメント
    • 一見さんお断り方式。生体を生体で認証すれば確実。
    • >静脈認証は赤外線で指や手の中の血管のパターンを認識するものだと思いますが、
      >これも赤外線カメラなんかで撮影した血管のパターンをプリントして、
      >手の代わりにかざしたらパスしてしまうような気もします。

      それだと、プリントした紙を赤外線で撮ることになるから通らないと思うけど。
      • by ryo_jp (9684) on 2005年01月30日 18時55分 (#686387)
        別に紙に印刷するものでもないし、何らかの手段で赤外線をだす同様のパターンを作ってしまえば良いという意で、問題ないと思うのだが…。
        (電気を通すと発熱する様な、もしくは単純に蓄熱するインクがあれば、本当に印刷でまかなえそうではある)
        親コメント
    •  誰も触れていないけど、一企業に半ば強制的に生体パターンを提出しなければならないのは非常にいやではありませんか? まぁ○△銀行ならヤレヤレと思いつつも登録してしまうかもしれませんが、□◆ファイナンスとか○×ソフトあたりま
      • Re:バイオメトリクス (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2005年01月31日 17時15分 (#686742)
        >誰も触れていないけど、一企業に半ば強制的に生体パターンを提出しなければならないのは非常にいやではありませんか?

        別に強制じゃありませんが。
        いやならキャッシュカード持つのをやめるなり、生体認証を使わない銀行に変えるなり、いっそ銀行を使わないという方法もあります。
        誰も触れないのは、強制的だという被害妄想をしているのがあなただけだからでしょう。

        >ちなみにワタシのお指模様をK察に登録されたとき(一応こっちは窃盗の被害者ですよ!?)

        仮にあなたが窃盗にあった物が出てきたとき、あなたの指紋が登録されていなければ、その指紋が窃盗犯や故買関係者である可能性があるとして長期に渡ってデータベースへ登録され続ける可能性がありますが、そっちの方が良ければ指紋を提供しなくても良いですよ。

        >まぁ実態は推して知るべしでしょうな・・・

        そういうのを「推測」ではなく「妄想」と言います。

        親コメント
      • 同感。企業情報保護の名の下に短期のアルバイトでも入退室管理用にバイオメトリクス情報を提出させられる時代です。それと同じでかつ変更不可能な情報を個人の資産管理に用いるのは恐いと思います。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...