ITエンジニアが論理的に/ロジックでいろいろ考えてみるblog 進化途中なのでいわゆるβ版。

【IT論考β】 認証方式が選べる場合は弱い方がセキュリティレベルを決める。[#112]

2015.05.31

■ 指紋認証や手のひら静脈認証、虹彩認証など

  さまざまな生体認証が実用化されています。

 

  ただ、生体認証の場合には

  本人を拒絶してしまう可能性もあり、

 

  また、怪我などで認証できない状態も

  考慮して、

 

  パスワード認証などの別な認証手段が

  用意されることも多々あります。

 

 

  そのような場合、認証方式は選択式になるので

  実際のセキュリティレベルは弱い方と一致します。

 

  攻撃者もどちらでも好きな方を選択できるので、

  当然、突破が簡単な方で攻撃されるからです。

 

 

  セキュリティレベルという観点では、

  この点に十分留意する必要があります。 

 

 

■ 例えば、直近のiPhoneにはTouch IDという

  指紋認証が搭載されていますが、

 

  これを有効にする場合、同時にパスワードも

  設定することになります。

 

  そして、指紋認証かパスワード認証かが選択式に

  なります。

 

  つまり、いくら指紋認証を有効にしていても

  パスワードが四桁の数字で

 

   「1111」とか「1234」

 

  という設定にしていては、

  せっかくの生体認証が台無しになります。

 

 

  パスワードも英数字を含む複雑なものに

  しなければいけないのです。

 

  (具体的には、「簡単なパスコード」を

   offにします。)

 

 

■ 生体認証以外では、パスワード認証が採用されていても

  パスワードを忘れた場合には

 

  「秘密の質問」

 

  に解答することでパスワード認証を突破できる

  サービスが散見されます。

 

  これも、

 

  「小学校の名前は?」や

  「母親(父親)の旧姓は?」

 

  など、客観的事実を答える場合には

  第三者でも解答可能な確率があがります。

 

 

  「秘密の質問」は

 

  主観で答えが決まる問題を選ぶか

  自分だけがわかる脈絡のない解答にするのが無難です。

 

  セキュリティを重要視するケースなら

  完全にランダムな文字列にしてしまい、

 

  実質的に無効化するのが得策です。

 

 

 今日の【まとめ】

 ■ 認証方式が選択式の場合、セキュリティレベルは

   弱い方と一致することに注意

 ■ 生体認証のバックアップが簡単なパスワードではNG

 ■ 秘密の質問も第三者が解答できないものを選ぶべし


■ ITの力で個人の生産性を向上させる情報を 日刊でお送りするメルマガ登録はコチラ!

ご登録されたいE-mailアドレスを入力し、登録ボタンを押してください。

関連記事

feedly・RSSで最新情報を購読

follow us in feedly

メルマガ登録はコチラ!

■ITの力で個人の生産性を向上させる情報を
日刊でお送りするメルマガ登録はコチラ!

ご登録されたいE-mailアドレスを入力し、
登録ボタンを押してください。

2015年5月
« 4月   6月 »
 12
3456789
10111213141516
17181920212223
24252627282930
31  

おすすめ記事

登録されている記事はございません。