アカウント名:
パスワード:
偽造されたことのないマイナンバーカードにご期待ください。 スマホの契約は身分証明書のオンラインでのチェックを義務付けたらいいと思うよ。
マイナンバーカードを提示した人(持っていた人)が間違いなく本人であるという確認はどのように担保したのか、セキュリティ的な手法の観点から興味があります。
ソーシャルエンジニア的に他人のマイナンバーカードを取得できないようにちゃんと考えられているのか怪しい。
むしろ、通知カードの時点で詐取・盗難されていたら容易に他人に成りすます事ができるように思える。
マイナンバーカードの受け取り時には、既存の写真つき証明書(免許証)を提示し、同一人物であることを(身元確認方法の研修をうけたと思しき)担当者2名で確認されました。これは、NIST SP800-63B のIAL(身元確認レベル)3にあたります。
発行後、マイナンバーカードで本人確認をする際は、AAL(本人認証レベル)の話になりますが、一般にはこれは、マイナンバーカード内の電子証明書(所持認証)と、読み取り時の暗証番号(知識認証)で多要素認証となり、AAL3 にあたるはずです。
なので、取得から利用までの仕組みは、標準的な手法で高いレベルが達成されているように思えます。
> マイナンバーカードの受け取り時には、既存の写真つき証明書(免許証)を提示し、同一人物であることを(身元確認方法の研修をうけたと思しき)担当者2名で確認されました。
そういうと思いましたが、そもそも今回の事件では偽造された免許証が使われたわけですよ。
さて、免許証も信用できないとすると、どうやって確認しますか?免許証もパスポートもない人は?写真付きの身分証はどうやって本人新生児の本人確認なんてのもどうするんだろう。誘拐してきた子供を、家で一人で産んだ子であると主張したら、病院で検査されたりDNA鑑定が必要なのかな。
と考えだしたらきりが無くて夜も眠れない…ってことは無いけどね。
交付通知書による多要素認証。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
マイナンバーカードか必用な理由がまた一つ (スコア:-1)
偽造されたことのないマイナンバーカードにご期待ください。 スマホの契約は身分証明書のオンラインでのチェックを義務付けたらいいと思うよ。
Re: (スコア:0)
マイナンバーカードを提示した人(持っていた人)が間違いなく本人であるという確認はどのように担保したのか、セキュリティ的な手法の観点から興味があります。
ソーシャルエンジニア的に他人のマイナンバーカードを取得できないようにちゃんと考えられているのか怪しい。
むしろ、通知カードの時点で詐取・盗難されていたら容易に他人に成りすます事ができるように思える。
Re: (スコア:2)
マイナンバーカードの受け取り時には、既存の写真つき証明書(免許証)を提示し、同一人物であることを(身元確認方法の研修をうけたと思しき)担当者2名で確認されました。
これは、NIST SP800-63B のIAL(身元確認レベル)3にあたります。
発行後、マイナンバーカードで本人確認をする際は、AAL(本人認証レベル)の話になりますが、一般にはこれは、マイナンバーカード内の電子証明書(所持認証)と、読み取り時の暗証番号(知識認証)で多要素認証となり、AAL3 にあたるはずです。
なので、取得から利用までの仕組みは、標準的な手法で高いレベルが達成されているように思えます。
Re: (スコア:0)
> マイナンバーカードの受け取り時には、既存の写真つき証明書(免許証)を提示し、同一人物であることを(身元確認方法の研修をうけたと思しき)担当者2名で確認されました。
そういうと思いましたが、そもそも今回の事件では偽造された免許証が使われたわけですよ。
さて、免許証も信用できないとすると、どうやって確認しますか?
免許証もパスポートもない人は?
写真付きの身分証はどうやって本人
新生児の本人確認なんてのもどうするんだろう。
誘拐してきた子供を、家で一人で産んだ子であると主張したら、病院で検査されたりDNA鑑定が必要なのかな。
と考えだしたらきりが無くて夜も眠れない…ってことは無いけどね。
Re:マイナンバーカードか必用な理由がまた一つ (スコア:0)
交付通知書による多要素認証。