■ 指紋認証や手のひら静脈認証、虹彩認証など
さまざまな生体認証が実用化されています。
ただ、生体認証の場合には
本人を拒絶してしまう可能性もあり、
また、怪我などで認証できない状態も
考慮して、
パスワード認証などの別な認証手段が
用意されることも多々あります。
そのような場合、認証方式は選択式になるので
実際のセキュリティレベルは弱い方と一致します。
攻撃者もどちらでも好きな方を選択できるので、
当然、突破が簡単な方で攻撃されるからです。
セキュリティレベルという観点では、
この点に十分留意する必要があります。
■ 例えば、直近のiPhoneにはTouch IDという
指紋認証が搭載されていますが、
これを有効にする場合、同時にパスワードも
設定することになります。
そして、指紋認証かパスワード認証かが選択式に
なります。
つまり、いくら指紋認証を有効にしていても
パスワードが四桁の数字で
「1111」とか「1234」
という設定にしていては、
せっかくの生体認証が台無しになります。
パスワードも英数字を含む複雑なものに
しなければいけないのです。
(具体的には、「簡単なパスコード」を
offにします。)
■ 生体認証以外では、パスワード認証が採用されていても
パスワードを忘れた場合には
「秘密の質問」
に解答することでパスワード認証を突破できる
サービスが散見されます。
これも、
「小学校の名前は?」や
「母親(父親)の旧姓は?」
など、客観的事実を答える場合には
第三者でも解答可能な確率があがります。
「秘密の質問」は
主観で答えが決まる問題を選ぶか
自分だけがわかる脈絡のない解答にするのが無難です。
セキュリティを重要視するケースなら
完全にランダムな文字列にしてしまい、
実質的に無効化するのが得策です。
今日の【まとめ】
■ 認証方式が選択式の場合、セキュリティレベルは
弱い方と一致することに注意
■ 生体認証のバックアップが簡単なパスワードではNG
■ 秘密の質問も第三者が解答できないものを選ぶべし
