武田圭史 » 生体認証と二要素認証が疑問視される理由

以前のエントリー「全銀協：偽造カード被害を銀行が補償する方針を決定」で 米国では最近、生体認証や二要素認証の導入については疑問視する論調が主流。 と書いたところ、具体的にどういう理由によるものかという質問を受けたので補足する。 生体認証については、日本国内ではグミ指による認証対象の物理複製による攻撃が有名であるが、物理複製に加え認証処理に使用する電子データが複製された場合も含め、認証対象物を変更することができないことが問題視されている。つまり、生体情報はパスワードのように一旦漏洩したとしても取り替えることができないということが実用上の最大の問題となる。 また、二要素認証に関しては攻撃手法のトレンドとしてMan-in-the-Middleやトロイが広く用いられるようになってきているために、パスワード＋ワンタイムトークンなど二要素を用いたとしても、認証情報だけをバイパスさせトランザクションを改

[nobody]

引：生体情報は[漏洩したからといって]取り替えることができない