パスワードを忘れた? アカウント作成
12200319 story
テクノロジー

IoTはパスワードを不要にする、かもしれない 38

ストーリー by hylom
生体認証よりはコストが安そうだ 部門より
あるAnonymous Coward 曰く、

先日、パスワード管理サービスLastPassで情報流出事件が起きた。パスワードというシステムは、個人認証のシステムとしては問題が多くなってきていると感じる。IT WORLDの記事によれば、ウェアラブルおよびスモールフォームファクタデバイスへの移行は、「パスワードの引退」を早める役割を果たす可能性があるという。

たとえばApple Watchは自分の携帯電話とペアリングすることによりパスワードを不要としている。このような二要素認証技術は多くのWebサイトでも一般的になりつつある。Apple Watchのようなウェアラブルデバイスと機器との組み合わせは、たとえば「ドアに近づいたらロックが解除される」といった手段として今後も拡大していくと見られている。米国のサーバー証明書認証機関「DigiCert」のJason Sabin氏は、服や電話、時計、靴といったものがIoTデバイスとして認証され、その組み合わせが個人認証に使えるかもしれないと語っている(Slashdot)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by northern (38088) on 2015年06月25日 0時19分 (#2836609)

    身ぐるみ剥がされる犯罪が流行るのか

  • by Anonymous Coward on 2015年06月24日 6時08分 (#2836058)

    物理的な鍵が使われなくなるんは便利だが、ハックの可能性が怖い

    • by Anonymous Coward

      > 服や電話、時計、靴といったも のがIoTデバイスとして認証され、その組み合わせが個人認証に使 えるかもしれない

      むしろソフトな鍵が物理鍵に変わるって話じゃないんすか?

      • by Anonymous Coward

        ブルーウォーターとか飛行石みたいのだとかっこいいかも。てか、車の鍵だよな。

      • by Anonymous Coward

        ソフトな鍵の問題と物理鍵の問題点を併せ持つ新たな鍵

    • by Anonymous Coward

      車のキーレスエントリーの電波を中継・増幅して持ち主宅にある鍵が車の前にあるかのように見せて解錠するなんて手口が既にあったような

      • http://wired.jp/2015/04/19/new-york-times-columnist-falls-prey-to-sign... [wired.jp]

        このニュースですね。対抗策としては冷蔵庫などの電波暗室に鍵を保管するしかなさそうです。

        --
        一人以外は全員敗者
        それでもあきらめるより熱くなれ
        親コメント
        • by taka2 (14791) on 2015年06月24日 14時57分 (#2836318) ホームページ 日記

          そもそも「電波を使って、接近を自動検知する」という「非接触でアクションレス」なシステムが間違ってたってことですよね。

          IoT鍵は、ドアを開ける段階で必ず接触アクションがあるんだから、
          非接触アクションレスにする必要性はどこにも無くって、
          「PAN(人体通信)を使って、鍵を持った人間がドアノブを触ったら、その接触を通して通信し解錠」
          といったシステムがいいんじゃないかな。

          親コメント
        • by Anonymous Coward

          車こそ指紋認証にしたらいいんじゃない?どうせ開け閉めのときドア触るんでしょ?

          • by nekopon (1483) on 2015年06月24日 11時25分 (#2836165) 日記
            バチっ
            親コメント
          • by Anonymous Coward

            一応、それはけっこう昔に既にやったし、
            その一方でやってはいけないという暗黙の了解ができつつあると思う。

            なぜなら、「車を盗む為に指を盗む」という事例が起きているからです。

          • by Anonymous Coward

            考えてみろよ!
            車の点検や車検なんかで、ディーラーなんかに車を預けるときに、指紋認証でしか動かない車なんか困るでしょ
            だから、必ず他人が運転する場合を想定して、物理的なキーなんかを準備しておかないと駄目なの。

            指認証で車に乗ってディーラーに着いて点検・修理しようとしたら、キーを忘れて取りに帰るとか、バカでしょ

      • by Anonymous Coward

        物理的な鍵も脆弱性がないわけじゃないけど、すくなくとも全世界から攻撃を受けるということはない。

  • by Anonymous Coward on 2015年06月24日 6時40分 (#2836063)

    それは要するに物理的な「鍵」を持つと言うことだよな。
    コピーされたり盗まれたりしたらどうすんの?
    「だいじょうぶ、『鍵』にパスワードかけておけばいいでしょ」ってかw

    • スマホの解除キーくらいのパスワードなら、所有者の負担は少ないのでは?
      物理鍵にしておくと、多分盗まれたことに気付くと思う。
      盗人からの攻撃に対して、何らかのアクションを打つまでの時間稼ぎ程度の意味で、
      鍵にパスワードをかけるのはアリだと思う。

      親コメント
    • by Anonymous Coward

      アンチパスワードな人たちのお花畑は見るに耐えないよねえ

    • by Anonymous Coward

      パスワードは忘れることがあるのが最大の問題です。
      その対策として簡単なパスワードが使われたり、パスワードを使いまわしたり、
      忘れた際の裏口が便利=セキュリティが甘くなったりするのが、今現在の大きな問題でしょう。

      • by Anonymous Coward

        それでも、#2836113みたいに脆弱性があっても利用者がそれに気づくのが
        難しいような仕組みよりはましだと思う。

        • by Anonymous Coward

          車のキーレスエントリの例は、物理的な鍵であっても、へんにハイテクを使うと、逆に脆弱性が生じたり、脆弱性に利用者や(警察でさえも)気づかなかったりするという問題を示していると思います。

          パスワードも、もちろんパスワードそのものを漏らしちゃだめという単純明快なルールが基本ですが、簡単なパスワードだとだめだとか、「簡単」とはどういうものを指すかとか、「ヒント」「秘密の質問」はどう扱うべきかとか、通信経路は大丈夫かとか、キーロガーとか、フィッシングサイトとか、考えだすと難しいですよ。

          ふつうの鍵も、ITがからむと、たとえば鍵の写真をブログやSNS等で公開するとまずいとか、難しくなってしまいますが。

        • by Anonymous Coward

          ぶっちゃけ、辞書に載っているようなパスワードを登録できてしまって
          容易にアカウントハックできてしまうとか、
          人間の能力的制限で長大な文字列が使用できない、容易に更新(変更)ができないなんてのは
          パスワード認証というシステムの根源的な脆弱性だと思います。

          それでも人の知恵で何とかコントロールしているので、今もってなお主流の認証方式なのでしょうが、
          かといってこんな不器用な技術に終始依存してるのはどうにも残念なものがありますよ。

    • by Anonymous Coward

      意味が分からん。鍵はコピーされたり盗まれたりしないように管理し、万一やられたら当然鍵を変えなければならない。
      それ以上に何があるのか。

      • by Anonymous Coward on 2015年06月24日 10時49分 (#2836147)

        IoTデバイスをキーとして、複数のサービスのアカウントをそのデバイスで管理していたとしたら、
        もしそのデバイスを盗まれたら全部のアカウントを一つ一つ手作業で対処していかなくてはならない。

        スマートなだけに、「当然鍵を変えなければ」の作業がとんでもない大仕事になってしまう。
        何十個も管理していたら、デバイスをなくしたら思い出せないアカウントも出てくるんじゃないの?

        アカウントの中にはパスワードの変更にはそのキーデバイスでの認証を要求してきたり、
        パスワード変更確認メッセージをキーデバイスに送ってしまい元の木阿弥になったりするところが出てきたりして、
        いろいろと楽しいことが起きそうだ。

        解決するのと、同じくらいかそれ以上の問題を持ち込みそうに思えるのだけど。

        親コメント
        • by Anonymous Coward

          スマートだからこそ、物理鍵をなくした時、
          電子的にすべてのアカウントの解錠を即座に停止とかできるでしょう。
          正常運用の方はそう心配ない。
          鍵を植木鉢の下に入れるとかにくらべりゃあ。

          むしろ怖いのは、
          なりすましによって鍵を停止や変更されたらどうすんのということ。
          結局本人認証(3つの質問とかのあれ)次第ということになる。

      • by Anonymous Coward

        物体としての鍵を忘れたり紛失したりする可能性の話だろ。
        スマホを鍵としていた時、「家に忘れた」と帰ってドアを開けようとしたら…って奴。

    • by Anonymous Coward

      捨て垢だの謎サイトだののパスワードとか覚えてられないし

    • >服や電話、時計、靴といったものがIoTデバイスとして認証され
      記事にあるように増えていくだけじゃないですかね。んで消費にも繋がる。

      鞄ごとまとめて盗まれると意味ないんで、普段身に着ける物からかな。

      • by Anonymous Coward

        出張とか旅行の時の、着替えが入ったかばんを盗まれるとアウトですね。

    • by Anonymous Coward

      指紋認証とFelicaチップを内蔵した鍵、かな?
      鍵が本人を認証、ドアが鍵を認証して初めてガチャっと開く、みたいな。

  • by Anonymous Coward on 2015年06月24日 9時29分 (#2836115)

    Apple Watchは自分の携帯電話とペアリングすることによりパスワードを不要としている。

    これだけじゃ一要素認証じゃない?もう一つの要素はなんだろう。
    まさかデバイスが二つあるから二要素認証なんて言ってないよね?

    • by Anonymous Coward

      Apple Watchは、一度腕からはずすとロックがかかり、解除にはパスコードを
      http://u-site.jp/alertbox/smartwatch [u-site.jp]
      のような小さなテンキーで入力する必要があります。

      • by Anonymous Coward

        携帯電話とペアリングしたうえで両方持ち歩き、パスコードを入力?
        仕方ないとはいえ、不便な二要素認証ですね。

      • by Anonymous Coward

        その時も同様にiPhoneをアンロックしたらWatchもアンロックされる。
        Watchにとっては「パスワード」か「iPhoneのアンロック」のどちらか1要素でのみアンロックされる。
        ので、2要素ではない。

        自分もWatch持ってるけどパスワードでアンロックすることはまずない。

  • by Anonymous Coward on 2015年06月24日 10時28分 (#2836134)

    古い話だしセキュリティ認証とはちょっとずれるけどポータブルSIM [itmedia.co.jp]の話は出てこないのか。
    あちらは複数のデバイスを一つのSIM(回線)で使うための、そのためとしてはあまりスマート
    とは言えない(ぉ 認証方法なんだけど、デバイスに対する個人認証としては
    タレこみ文の中にもある「ウェアラブルデバイス」の一種とも言えなくも無し。

    まあ携帯電話系端末で考えれば、スリープ解除のたびに非接触IC認証するとか想像すると、
    現状ある生体認証(指紋・虹彩)のほうがまだ手軽でいいよね~とは思う。

    ただ電波を使った単純なデバイス認証は、他のカキコにもある通り車のキーレスエントリーに様に
    一方が所有者に気づかれず誰にでもアクセスしやすい環境にある場合に非常に危険であることは実証済み。
    こういうのにはポータブルSIM的なものが使えるかも。機構的に生体認証より小型化しやすそうで
    車のキーとかに向いてそうだし。
    (キーにSIMをかざす(有効距離はほぼ接触)→数秒間だけロック認証がアクティブとか)

    車のキーだけに…と考えるかもしれませんが、まあ確かにその通り。
    ただ、ポータブルSIMの方が車のキーだけでなく様々な認証に使え「ほぼ常に身に着けているもの」
    になればそれは関係なくなるかも。
    それまではスマホを使ったNFC認証なんかが使えるかなぁ。

    問題は「じゃあそういう社会になったとき、そのポータブルSIMを紛失・盗難となったとき
    かなり致命傷になるよねぇ」ってとこでしょうか。
    そう考えると十分な強度の認証が設定されている携帯電話系端末がマスターキーになるのが
    やっぱ一番妥当なのかなぁ。
    #紛失しても遠隔ロックできるし、電源OFF・SIM無し時は認証機能が使えないにしておけば
    #悪用は難しくなるから。
    #ああ、やっぱそうなるとでかいタッチタイプデバイスじゃなくて小型・薄型の物理キーデバイスこそを
    #認証マスターデバイスとして欲しくなるわぁ

    • by Anonymous Coward

      (ぉ

      とか久しぶりに見たな。

      • by Anonymous Coward

        ギャル文字の「ば」かなと思ったけど点が少ないですね

  • by Anonymous Coward on 2015年06月24日 19時47分 (#2836486)

    制服以外は難しいなあ

    時計や靴も数持ってて気分で変えてる人はめんどくさいことになりそう

  • by Anonymous Coward on 2015年06月24日 20時13分 (#2836503)

    たいとるおんりー

  • by Anonymous Coward on 2015年06月24日 23時07分 (#2836569)

    >>たとえば「ドアに近づいたらロックが解除される」といった手段

    「スマートキー」を標準装備したマンション トヨタホームと野村不動産
    http://www.j-cast.com/trend/2007/11/28013863.html [j-cast.com]

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...