公開されている情報で認証はできない、または、なぜ生体認証はうまくいかないのか

まともなユーザー登録とログインを必要とするWebサイトにログインする際には、認証として、あらかじめ設定しておいた秘密のパスワードの入力を求められる。銀行のATMの操作にも、予め設定しておいた秘密の暗証番号の入力を求められる。 これは不便ではないか。もっと簡単にログインできないのか。生体認証はどうした。もう何十年も話ばかりで、あまり広く使われていないぞ。 以前、日本のセキュリティ意識が皆無の人間によって設計された携帯電話の、かんたんログインが問題になった。これが何故問題になったのかというと、携帯電話ごとにユニークなIDを送信し、そのIDが送られたことをもって、送信元はある携帯電話の個体であると認証するものである。これは、相手が絶対に嘘をつかないことをあてにした認証方法である。送信するデータは、相手側の手にあるコンピューターで生成されているのだから、相手が嘘をついてしまえば、この認証は破綻する

[fake-jizo]

via Pocket

[moroyowa]

xkcd 936

[irof]

"この二十年というもの、我々は人間にとって覚えるのが難しいが、コンピューターにとっては推測が簡単なパスワードを教育することに成功してきた。" うむ……。

[tokida]

★

[monjudoh]

『かんたんログインや生体認証は、公開されている情報をもとに認証するので、その程度の信頼性しかない。』

[maangie]

「認証の強度は、偽造が難しいという事だけに依存している」

[labunix]

“本の虫: 公開されている情報で認証はできない、または、なぜ生体認証はうまくいかないのか”

[stack00]

言われてみれば確かに、指紋などをデータに置き換える時点で読み取るのは簡単だね。パスワードは同じ長さなら規則性のないほうが強いよね。いくら複雑でも短いと破られやすいね。

[mobile_neko]

辞書攻撃で突破されるから、ランダムなワードが求められるわけで…。でも4単語のひとつがランダムなワードなのはよいかも。

[zorio]

ありふれた数個の単語の組み合わせであろうという当たりをつけて攻撃された場合はどうなるんだろう。

[waman]

『かんたんログインや生体認証は、公開されている情報をもとに認証するので、その程度の信頼性しかない。認証の強度は、偽造が難しいという事だけに依存している。』