指紋読み取り装置をゼラチン指であっさり突破 77
ストーリー by Oliver
実は前から常識 部門より
実は前から常識 部門より
イーサン・H曰く、"CNET Japan Newsによると、ある日本の技術者が国際電気通信連合(ITU)のセキュリティーに関するワークショップで、あらかじめ作っておいた指紋の付いたゼラチン製の指先を使って、市販の指紋読み取り装置をあっけなく突破して見せたらしい。
何でもこの科学者によれば、この方法でこの手の装置はごく簡単に突破可能らしく、その確率は、ほぼ80%から、場合によっては100%にまでなるらしい。
しかし、開発メーカーはとくに大騒ぎしていないようだ。かなり屈辱的な報告だと思うのだが、大丈夫か?この技術?"
バイオメトリクスは単体では認証たりえません (スコア:3, 参考になる)
Re:バイオメトリクスは単体では認証たりえません (スコア:3, 参考になる)
10年前ぐらいに指紋認証やってた時から、そういう話はありました。
補足(蛇足?)になりますが、指紋による照合には、指紋そのものの図形では無く、指紋の特徴(分岐点、端点など)を使います。(方式はその後増えてるかも知れないけど)
だから、似た情報となる事はありえます。
さらに、指紋の読み取りには指を載せたプリズムに光を当てて、その反射した画像を読み取ります。ですから、ゼラチンとか使えば、ごまかせる事も確かです。
そういった前提があるから、複数の方式を組み合わせるわけですね。
masashi
Re:バイオメトリクスは単体では認証たりえません (スコア:2, 参考になる)
佐藤亮一 in Frankfurt Germany
Re:バイオメトリクスは単体では認証たりえません (スコア:1, 参考になる)
本人が認証の現場にいなければならない認証方式って、安全性は高いのかもしれま せんが不便な一面も。休暇中にだれかが代わりに、、、という手が通用しませんか らね。だから、利用できる局面は案外限定されるのではないでしょうか。
佐藤亮一 in Frankfurt Germany
Re:バイオメトリクスは単体では認証たりえません (スコア:1, 参考になる)
ふつーは、必要な人に必要な権限を与えるか、遠隔地から作業できるようにシステムを構築するはずです。
(後者はあまり勧められないけど…)
masashi
Re:バイオメトリクスは単体では認証たりえません (スコア:1)
私の日常で考えれば、銀行に行く同僚に「ちょっとついでにお金おろしてきてよ」 と頼むことがある。信頼しているから、キャッシュカードと暗証番号を与える。こ れなんか、たとえば「指紋認証」になるとできなくなりますよね。
佐藤亮一 in Frankfurt Germany
Re:バイオメトリクスは単体では認証たりえません (スコア:1)
# 数学は科学の女王にして奴隷
Re:銀行の暗証番号って簡単に変えられるんだっけ? (スコア:1)
…ていうか、信頼できる同僚に暗証番号を変えられてしまったら目も当てられませんね(^^;
Re:銀行の暗証番号って簡単に変えられるんだっけ? (スコア:1, 参考になる)
信頼できる同僚に出所のアヤしい新札で入金されて、
その直後に同額を引出される、とか。
# というのは当然ネタですが、
# 万一の事態が起きたときに
# その同僚に対して余計な疑いをかけないためにも、
# 暗証番号は教えるべきではないと思う...
Re:銀行の暗証番号って簡単に変えられるんだっけ? (スコア:1)
オンラインで変更できるなら,毎回任務完了後に新しい番号に変えれば,知らないうちにっていうのは防げるかも. あとはちょうど必要な額だけ別の口座から直前に振り込むとか...
Re:バイオメトリクスは単体では認証たりえません (スコア:1)
単体で使えないのはごもっともですが、
「例えばパスワード」なんかと組み合わせると、使い勝手のあがりぐあいに比べて、
安全性の下がり具合がひどすぎて、さらに使えなくなると思うですが、いかがでせうか?
Re:バイオメトリクスは単体では認証たりえません (スコア:1)
バイオメトリクスが通らなかった場合に備えてバックアップパスワードなど作ってしまうと、そのシステムのセキュリティ強度はバイオメトリクスではなくそのパスワードに依存してしまいますね。
ところがバックアップ用パスワードに複雑怪奇な覚えにくい物を利用するのはなかなか利用者の理解を得られない(っーか忘れられて役に立たない)ので、結局数字4桁とかになっちゃうなんてありがちですから....。
それなのに「バイオメトリクスでセキュリティを確保している」という実体の無い「安心感」だけが一人歩きしてしまって、安易なパスワードに依存しているという現実に気づかなくなっちゃうんですよね。
Re:バイオメトリクスは単体では認証たりえません (スコア:2, 参考になる)
と言うか、セキュリティ的にはその様な事は歓迎できなくても、実際に利用する側からはちょっとした事でバイオメトリクスの部分が通らなく、その都度いちいちセキュリティ管理部門の手を煩わすのが鬱陶しいし、管理部門は管理部門でしょっちゅう呼び出されたり対応させられたりするのが段々厭になってきて、結局「予備の」パスワードを設定しちゃったりする訳です。
こうなるとそのシステムのセキュリティはただのバスワードシステムになり下がってしまう訳ですが、その事が正しく理解されない場合がままあるようですね....と言うのが先の投稿の趣旨です。
ご理解いただけますでしょうか。
Re:バイオメトリクスは単体では認証たりえません (スコア:1)
と、いうことらしいです。
← 自分で書いてるんですが、なんだか自信が...
-- LightSpeed-J
Re:バイオメトリクスは単体では認証たりえません (スコア:1)
指紋認識というシステムは機械認証のIDカード(もちろん無効管理を厳密にする必要がある)などと組み合わせて「本人出頭」を即時確認するのに使うもので、4桁パスワードよりは偽造しにくい…レベルのセキュリティに使うものという認識です。
「会社ビルの通用口で役員にIDカードを要求せずに鍵を開けさせる」(指紋特徴の検索順を前に持っていけばすぐ認証できる)程度のおまけはつけられるそうですが、セキュリティレベルは下がりそうです。
Re:バイオメトリクスは単体では認証たりえません (スコア:1)
「指紋認証を通した次にパスワードを入れる」ということで、
orではなくandで使えば安全性は下がらないと思うのですが。
Re:バイオメトリクスは単体では認証たりえません (スコア:1)
#装置の値段により、ピンキリだとは思いますが。
例になるかは微妙だが、今ゲーセンで稼動中の麻雀格闘倶楽部 [http]ってゲームには、カード売買防止のためと思われる指紋認証が付いてるが、結構いいかげんな認証する時もあるらしい。
#友人の指で通ったとか、別の指で通ったとか。
こいつの場合は、指紋認証がある、と言うだけでカード売買はされていないようだから、目的は果たしてる。
ついでに四桁のパスワードも入れさせられるので、まぁ、無難な仕組みかな?
でも、登録した指にケガしたら遊べなくなるんだよな、、、
Re:バイオメトリクスは単体では認証たりえません (スコア:1)
指紋: 触ったものから偽造
声: 録音して偽造
網膜: …?
で、網膜の血管パターンは(比較的)安全なイメージを持って
いたんですが、これって素人考えですかね?
# 仮にくり抜いて持ってっても、寿命短そうだし
Re:バイオメトリクスは単体では認証たりえません (スコア:2)
どんな認証方式でも破られる可能性は出てくると思います。
たとえば今は亡きテレカの自販機なんか、コピー用紙に
磁性体を塗っただけの、およそ紙幣には見えない
ただの「紙」で破られてましたし。
人間の感覚的な「安全なイメージ」は、あまり役に立たないのかも
しれません。
[udon]
そういうときは (スコア:1)
液晶と指紋認証のハイブリッドデバイス。
毎回配列が変わる数字を数桁押す。
押しているときに指紋を読み取る。
暗証番号と指紋のハイブリッド認証です。
Re:そういうときは (スコア:1)
外見はマウス、というよりマウスそのものなんだけど、ありますね。
マウスで指紋認証した後、マウスで決まった動作をしたら 通過っていうのは作るのが簡単そう。
開発メーカーは既に認識しています (スコア:3, 参考になる)
高い識別装置は、きちんと区別可能です。
問題は、開発側が都合の悪い情報を言われるまで出さないことと、
売る側が問題意識が無く確認を怠っていることです。
Re:開発メーカーは既に認識しています (スコア:2, すばらしい洞察)
「うちの新製品○○は区別可能です」とかいうとそれ以外の旧製品××はダメだったんじゃんというのがバレるから言わない、とかいうこともあるかも?
すでに (スコア:2, 参考になる)
費用対効果の問題? (スコア:2, 興味深い)
指の血管の投影画像と指紋のハイブリッドで温度と湿度もチェックすればある軽度安全でしょうかね。さらに欲を言えば赤血球のDNAもチェックしましょうかね。
Re:費用対効果の問題? (スコア:2, すばらしい洞察)
赤血球って、確か核がなかった気がするのだが?
#多分白血球(+そのほか各種リンパ球)でDNA検証するのでは?
M-FalconSky (暑いか寒い)
Re:費用対効果の問題? (スコア:1)
この手のセキュリティのトレードオフって難しいですね。
Re:費用対効果の問題? (スコア:1)
そういうのも有効かも知れませんね。
Re:費用対効果の問題? (スコア:1)
Re:費用対効果の問題? (スコア:1)
>ゼラチン対策というか、「ちょん切った指」対策として、温度(体温)と 脈拍を有無(速度ではない)を判断材料にしているものはすでにあると 聞いています。
グミ指にチューブを埋めて、お湯を通し、注射器で圧力をかけたり、抜いたり。
ってのは200円程度では出来ないまでも、1000円はしない気がします。
絶対、他人を受理しない(穴のない)認証システムなんて (人間を含めて)、ありえないと(僕は)思うので、むしろ 「本製品は、指紋を盗まれると破られる危険性があります。」という表示一発で済む用途用ってことで勘弁していただくことにして… 研究開発予算が取れませんかねぇ、はぁ…(;_;)。
論文リストはこのあたり (スコア:2, 参考になる)
Google検索「指紋画像からの人工指作製」 [google.co.jp]
一安心 (スコア:1, おもしろおかしい)
いつ犯罪者に指をちょん切られるのか気が気でなかったのですが
これで当面その心配はなくなった、のかな?
スタローン (スコア:1)
シルベスタ・スタローン主演の「デモリション・マン」という映画で
悪役がエライさんの目を抉って
それを使って脱獄するシーンがありましたね。
gy0
Re:ロボコップ (スコア:1)
会長以外の人物だと網膜にホットなレーザー照射・・・ってやつ。
映画はウソじゃないのか (スコア:1)
じゃ、スプレーで前回使用した方の指紋を出す方法でもなんとかなったりして…
でもこれでよかったんだろうなぁ
普及してたら大変な事だったと思うし…
次はDNA検査だったりして…ゴム指に血液入れて…
指の作り方 (スコア:1)
どうやってゼラチン指を作るものかとあれこれ想像して「寝てる時にこっそりヤられる可能性が高いから、鍵の掛かった手袋をして寝よう(靴下も同様)」と考えたんだけど...。
映画でも。。。 (スコア:0)
Re:映画でも。。。 (スコア:2, 興味深い)
見た当時は「非現実的だなぁ」とは思うのですが、数年経つとできちゃうんですよね。
意外と技術者の視点よりも、シナリオライターさんの視点の方がセキュリティの破り方が見えるのかもしれませんね。
技術者だと「既存の技術」にとらわれがちですからね。
Re:映画でも。。。 (スコア:2, 興味深い)
セキュリティ業界はシナリオライターな方々とより交流を深めた方がいいのかもです。
Re:映画でも。。。 (スコア:1)
「シナリオライターな方々と~」って辺りでは全然関係無いですけど、こういうゲームも国防総省に採用され、米軍兵士の訓練に活用されるそうです。
こういうのデザインする人たちがホンキでテロすると凄く怖いかも(--)
http://www.watch.impress.co.jp/game/docs/20020219/ubi.htm
Re:映画でも。。。 (スコア:1)
えてして「現場の人は気づかない」事が多いので...
素人の方が変に専門知識が無いだけに突拍子も無い事考えますので、
そういう人達の意見も少しは参考になるのでは?と思います。
Re:映画でも。。。 (スコア:1)
それについても考えてみましたが、映画の中のコンピュータ [vector.co.jp]を思い出して考えを打ち消してました。トンデモなコンピュータが出てくる映画やドラマ製作の裏側で、ちゃんと技術屋さんに訊いて調査しているとしたら、あんまりだと思います(^^;
Re:映画でも。。。 (スコア:2)
指紋認証のために手が盗まれてましたよね。
[udon]
Re:映画でも。。。 (スコア:1)
コンタクトじゃなくて、眼球を手術して網膜を造り変えていたんじゃなかったっけ?
#或いは眼球毎取り替えてたのかも知れないけど。
Re:映画でも。。。 (スコア:1)
#10年以上前に見たきりだから、ほとんど覚えてないけど。
研究に進展あり (スコア:3, 参考になる)
残留指紋からサンハヤトのプリント基板で型を作る方法は今回初お目見えのはず。(このPDF [itu.int]の24枚目を参照。)
これで作った指でも生指を登録したシステムを誤認させることができたらしい。
今さら驚くだけの価値はあると思うぞ。
Re:研究に進展あり (スコア:1)
「市販のゼラチン製、指紋照合装置に弱点、人工指、本人と誤認」
>製作費は約五百五十円。
Re:研究に進展あり (スコア:1)
該当記事を参照しましたが、第二段落目で「粘土で本人の指をかたどり、市販の料理用ゼラチンを流し込んで人工指を作った」とあり、第五段落目に「食器などに残った指紋から人工指が作れる可能性もあるという」と言及されているだけで、残留指紋から作成した人工指で誤認識させることができたとは読めないのですが
Re:今頃このネタで恥ずかしくないか? (スコア:1, すばらしい洞察)
一般の人に啓発するには、この手のニュース記事として何回か取り上げる必要があると感じます。
いつもチェックしている訳じゃ無いですから...
でもまぁ、ニュース記事自体が「新しい発見!」とかウソつくのはヤメテ欲しいですけどね。
Re:映画で。 (スコア:1)
007シリーズの「ダイヤモンドは永遠に」でも指先に装着して指紋をごまかすものをQが開発していたと思います。
いずれにしても、セキュリティーのキーを指紋だけに頼ろうとするのはダメよってことで。