アカウント名:
パスワード:
ターゲットを絞れば、突破する方法を考えるのは時間の問題という事ですね。
本当の機密は、複数組合せが当然。それ以下は、99.n% でしか防御出来ないと割り切るべし、、と
生体情報を鍵として使ってる時点で認証としては致命的な欠陥を抱えているから、いくら組み合わせたところで生体認証が安全な認証として機能することは無いかと。
外部に晒しっぱなしで、全サイト全システムで共通で、変更不可能な、「鍵」。セキュリティ的には論外としか言えないでしょ。
利用者身体に物理的に付属しているから手軽に使えるだけ。簡単ログインと同じ。簡単ログインはきっちり実装して端末や回線に一定の対タンパ性が期待できるならある程度は機能していたけど、それを生体認証に置き換えれば「認証場面で利用者に対して対タンパ性を期待出来なければならない」となる。具体的にはシールや疑似指やロボット等の偽装デバイスの排除や手術痕の検証等を毎回高精度で実施する必要がある。そこまでいってもようやく簡単ログインと同等止まり。結局、センサが安くなって手頃に検証できるようになったら簡単ログインよりも安全性の低い簡易な鍵として使える程度の物。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
100%なんてないでしょ (スコア:2)
ターゲットを絞れば、突破する方法を考えるのは時間の問題という事ですね。
本当の機密は、複数組合せが当然。
それ以下は、99.n% でしか防御出来ないと割り切るべし、、と
Re:100%なんてないでしょ (スコア:0)
生体情報を鍵として使ってる時点で認証としては致命的な欠陥を抱えているから、
いくら組み合わせたところで生体認証が安全な認証として機能することは無いかと。
外部に晒しっぱなしで、全サイト全システムで共通で、変更不可能な、「鍵」。
セキュリティ的には論外としか言えないでしょ。
利用者身体に物理的に付属しているから手軽に使えるだけ。簡単ログインと同じ。
簡単ログインはきっちり実装して端末や回線に一定の対タンパ性が期待できるならある程度は機能していたけど、
それを生体認証に置き換えれば「認証場面で利用者に対して対タンパ性を期待出来なければならない」となる。
具体的にはシールや疑似指やロボット等の偽装デバイスの排除や手術痕の検証等を毎回高精度で実施する必要がある。
そこまでいってもようやく簡単ログインと同等止まり。
結局、センサが安くなって手頃に検証できるようになったら簡単ログインよりも安全性の低い簡易な鍵として使える程度の物。