パスワードを忘れた? アカウント作成
3023 story

指紋読み取り装置をゼラチン指であっさり突破 77

ストーリー by Oliver
実は前から常識 部門より

イーサン・H曰く、"CNET Japan Newsによると、ある日本の技術者が国際電気通信連合(ITU)のセキュリティーに関するワークショップで、あらかじめ作っておいた指紋の付いたゼラチン製の指先を使って、市販の指紋読み取り装置をあっけなく突破して見せたらしい。
何でもこの科学者によれば、この方法でこの手の装置はごく簡単に突破可能らしく、その確率は、ほぼ80%から、場合によっては100%にまでなるらしい。 しかし、開発メーカーはとくに大騒ぎしていないようだ。かなり屈辱的な報告だと思うのだが、大丈夫か?この技術?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2002年05月18日 15時28分 (#94822)
    指紋認証に限らず、バイオメトリクスによる認証システムは、 他の認証手段、例えばパスワードと組み合わせると効果的ですが、 それだけではほとんど実用に耐えません。 バイオメトリクスに限らず、セキュリティ関係の製品を選ぶ時は 「これ一つで簡単セキュア」という宣伝は常に嘘だという事を覚えておくべきでしょう。
    • そうですね。
      10年前ぐらいに指紋認証やってた時から、そういう話はありました。

      補足(蛇足?)になりますが、指紋による照合には、指紋そのものの図形では無く、指紋の特徴(分岐点、端点など)を使います。(方式はその後増えてるかも知れないけど)
      だから、似た情報となる事はありえます。
      さらに、指紋の読み取りには指を載せたプリズムに光を当てて、その反射した画像を読み取ります。ですから、ゼラチンとか使えば、ごまかせる事も確かです。
      そういった前提があるから、複数の方式を組み合わせるわけですね。
      --
      masashi
      親コメント
    • ドイツのコンピュータ雑誌 Ct 最新号(02/11) [heise.de]も の問題を特集しています。PC 用の認証端末を様々な方法で欺く方法を紹介していま す。
      --
      佐藤亮一 in Frankfurt Germany
      親コメント
    • off topic になりますが

      本人が認証の現場にいなければならない認証方式って、安全性は高いのかもしれま せんが不便な一面も。休暇中にだれかが代わりに、、、という手が通用しませんか らね。だから、利用できる局面は案外限定されるのではないでしょうか。

      --
      佐藤亮一 in Frankfurt Germany
      親コメント
    • >バイオメトリクスによる認証システムは、他の認証手段、例えばパスワードと組み合わせると効果的ですが

      単体で使えないのはごもっともですが、
      「例えばパスワード」なんかと組み合わせると、使い勝手のあがりぐあいに比べて、
      安全性の下がり具合がひどすぎて、さらに使えなくなると思うですが、いかがでせうか?
      親コメント
      • その通りですね。
        バイオメトリクスが通らなかった場合に備えてバックアップパスワードなど作ってしまうと、そのシステムのセキュリティ強度はバイオメトリクスではなくそのパスワードに依存してしまいますね。
        ところがバックアップ用パスワードに複雑怪奇な覚えにくい物を利用するのはなかなか利用者の理解を得られない(っーか忘れられて役に立たない)ので、結局数字4桁とかになっちゃうなんてありがちですから....。
        それなのに「バイオメトリクスでセキュリティを確保している」という実体の無い「安心感」だけが一人歩きしてしまって、安易なパスワードに依存しているという現実に気づかなくなっちゃうんですよね。
        親コメント
      • これは「指紋認証がだめならパスワードで」ではなく、
        「指紋認証を通した次にパスワードを入れる」ということで、
        orではなくandで使えば安全性は下がらないと思うのですが。
        親コメント
        •  そもそも指紋認証といっても、指紋の全てを比較している訳でなく、指紋の中の分岐など一部のパターンを抽出して認識しているだけなので、絶対ではない。
          #装置の値段により、ピンキリだとは思いますが。

           例になるかは微妙だが、今ゲーセンで稼動中の麻雀格闘倶楽部 [http]ってゲームには、カード売買防止のためと思われる指紋認証が付いてるが、結構いいかげんな認証する時もあるらしい。
          #友人の指で通ったとか、別の指で通ったとか。

           こいつの場合は、指紋認証がある、と言うだけでカード売買はされていないようだから、目的は果たしてる。
           ついでに四桁のパスワードも入れさせられるので、まぁ、無難な仕組みかな?

           でも、登録した指にケガしたら遊べなくなるんだよな、、、
          親コメント
    • なんとなく、
      指紋: 触ったものから偽造
          声: 録音して偽造
      網膜: …?
      で、網膜の血管パターンは(比較的)安全なイメージを持って
      いたんですが、これって素人考えですかね?
      # 仮にくり抜いて持ってっても、寿命短そうだし
      親コメント
    • by take0m (4948) on 2002年05月20日 14時13分 (#95360) 日記
      外見はテンキー。

      液晶と指紋認証のハイブリッドデバイス。
      毎回配列が変わる数字を数桁押す。
      押しているときに指紋を読み取る。

      暗証番号と指紋のハイブリッド認証です。
      親コメント
      • by sato4 (4413) on 2002年05月20日 15時19分 (#95375) 日記
        外見はテンキー。

        外見はマウス、というよりマウスそのものなんだけど、ありますね。

        マウスで指紋認証した後、マウスで決まった動作をしたら 通過っていうのは作るのが簡単そう。

        --
        --- Sato4.
        親コメント
  • by Anonymous Coward on 2002年05月18日 15時35分 (#94827)
    とあるベンダーにいますけど、開発サイドはこの問題を認識済みです。
    高い識別装置は、きちんと区別可能です。

    問題は、開発側が都合の悪い情報を言われるまで出さないことと、
    売る側が問題意識が無く確認を怠っていることです。
  • すでに (スコア:2, 参考になる)

    by y_tambe (8218) on 2002年05月18日 15時41分 (#94829) ホームページ 日記
    一年以上前から週刊バイオ [mackport.co.jp]でも取り上げられてたし、有名な話だと思ってましたが.
  • by take0m (4948) on 2002年05月18日 15時48分 (#94831) 日記
    重要な情報への認証は、そもそも認証装置にたどり着けた時点で問題ですしね。わずか一桁万円の装置でゼラチン対策するのもどうなんでしょうかね。ある越したことはないですけど。

    指の血管の投影画像と指紋のハイブリッドで温度と湿度もチェックすればある軽度安全でしょうかね。さらに欲を言えば赤血球のDNAもチェックしましょうかね。
  • 一安心 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2002年05月18日 16時21分 (#94843)
    重要情報の管理に指紋認証を使うとなると
    いつ犯罪者に指をちょん切られるのか気が気でなかったのですが

    これで当面その心配はなくなった、のかな?
  • なるほど…
    じゃ、スプレーで前回使用した方の指紋を出す方法でもなんとかなったりして…

    でもこれでよかったんだろうなぁ
    普及してたら大変な事だったと思うし…

    次はDNA検査だったりして…ゴム指に血液入れて…
  • by hix (3507) on 2002年05月18日 18時14分 (#94884) 日記
    指から直接型を取るしか方法が無いと思っていたら、その辺についた指紋でもOKで、しかもその方が突破率が高いときたもんだ。

    どうやってゼラチン指を作るものかとあれこれ想像して「寝てる時にこっそりヤられる可能性が高いから、鍵の掛かった手袋をして寝よう(靴下も同様)」と考えたんだけど...。
  • by Anonymous Coward on 2002年05月18日 16時21分 (#94842)
    Never Say Never Again でも網膜を使った認証がコンタクトレンズで破られておりました。。。。って、あれは映画か。 Mission Impossible(TV)でも、かぶりモノで騙していましたね。
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...