web-dev-qa-db-ja.com

なぜバイオメトリクスの横にパスワード/パスフレーズを使用するのですか?

ここ数日だけでなく、私がフォローしているいくつかのブログやフォーラム(特に XKCD#936 がこの世界の光を見た後)で、パスワードとパスフレーズについて多くの話題がありました。両方の長所と長所をかなり聞いたので、考えさせられました。

なぜ生体認証の代わりにパスワードとパスフレーズを使用するのですか?私はバイオメトリクスが認証や識別の聖杯ではないことを知っていますが、( そして最も人気のあるパスワードは... ZDNETから)少なくとも私は、大多数のユーザーがそうしないことをかなり確信で​​きますバイオメトリクスはまったく同じで簡単に推測できます。また、指や虹彩も忘れられません(パスワードやパスフレーズは忘れられません)。クラウドの時代が到来すると、パスフレーズ(長さ)の主な強みは短命になる可能性があります。

私が言ったように、私は知っています バイオメトリクスは完璧ではありません ですが、パスワード/パスフレーズがほとんどすべてのシステムのアキレス腱であることがわかっている場合、バイオメトリクスが十分に活用されないのはなぜですか? Tylerl( 実世界の生体認証 このサイトからの2番目の回答)によると、生体認証は以前よりも少なく使用されています。つまり、指紋が簡単に偽造されたとしても、パスワードが123456またはqwertzのユーザーを多く持つよりも、少なくとも私の観点からは(私が間違っていることを証明してもかまいません)、それでも優れています。

要するに、バイオメトリクスの広範な採用を妨げている最大の問題/障害は何ですか?

[〜#〜]編集[〜#〜]

返信ごとにコメントすることはしませんが、ここに私の考えを示します。また、いくつかのことを明確にしたいと思います。

正規化の問題

アメリカではどうだかわかりませんが、イギリスの法律では、照合に使用する参照ポイントが少なくとも5つ(または7つあるかどうかはわかりません)必要があるとしています。つまり、完全なスキャンがなくても、システムはDBに保存されているベクトル(指紋を表す)に対して照合を行うことができます。システムは異なる基準点を使用するだけです。バイオメトリック特性として顔を使用している場合、EBGMは、顔が 〜45°シフト であっても人物を認識できます。

変更不可の問題(特性)

まあ、あなたは実際に特性を変えることができます-それは cancelable biometric と呼ばれています。塩漬けと同様に機能します。キャンセル可能な生体認証の優れた点は、毎日変換を適用できる必要があることです(毎日パスワードをリセットすると、多くの不満が生じる可能性があります)。

とにかく、ほとんどの人が指紋と顔認識だけを考えているように感じますが、実際には、システムが認証に使用できる特性ははるかに多くあります。括弧内に、詐欺の可能性を示します。高はH、中はM、低はLです。

  • アイリス(L)
  • ターモグラム(L)
  • DNA(L)
  • におい(L-信じられないか犬に聞いてください:])
  • 網膜(L)
  • 静脈[手](L)
  • 耳(M)
  • 歩く(M)
  • 指紋(M)
  • 顔(M)
  • 署名(H)
  • 手のひら(M)
  • 声(H)
  • タイピング(M)

さて、生体認証ハードウェアは高価で、単純なパスワードでは必要なものすべて(キーボード)を持っているとしましょう。さて、なぜタイピングのダイナミックを使用してパスワードを強化するシステムがないのでしょうか。残念ながら、クロアチア語で書かれているため、リンクを張ることはできません(正直なところ、このディスクに書いてあるかどうかはわかりません)。しかし、数年前、2人の学生がタイピングのダイナミックに基づいて認証をテストしました。ログオン画面で簡単なダミーアプリを作成しました。彼らは1つのフォーラムにアプリケーションをアップロードし、マスターパスワードを投稿しました。このテストの最後に、正しいパスワードでアプリケーションにログインしようとした2000回のユニークな試行がありました。すべて失敗しました。このシナリオはWebページではほとんど不可能ですが、ローカルでは、追加のハードウェアを必要としないこの生体認証特性により、123456パスワードをかなり強力なものに変えることができます。

P.S。誤解しないでください。私はバイオメトリックファンではないので、いくつか指摘したいことがあります。コスト、タイプ2のエラー、ユーザーエクスペリエンスなどのかなり良い説明があります...

authenticationpasswordsmulti-factorbiometrics
27
StupidOne

パスワードとバイオメトリクスには明確な特徴があります。

パスワードは秘密のデータです。データは抽象的です。データはネットワーク間を非常に自由に流れます。暗号化では、秘密データを使用して機密性や認証などのさまざまなセキュリティプロパティを実現できる多くのアルゴリズムが定義されています。パスワードの短所は、それらが人間によって記憶されることを意図されているという事実(そうでなければ、我々はそれらを単に「キー」と呼ぶだろう)によるものであり、これはそれらのエントロピーを厳しく制限します。

Biometricsは、人間のユーザーの(広義の)身体の測定値です。メジャーなので、それらは少しあいまいです:網膜スキャンを実行してビットのシーケンスに変換することはできないため、毎回まったく同じビットのシーケンスを取得できます。また、生体認証は必ずしもconfidentialである必要はありません。家を出るたびに広い世界にあなたの顔を見せる。多くの顔認識システムは、ユーザーの顔の印刷された写真を保持することによってだまされる可能性がある。

バイオメトリクスは、ユーザーの身体とコンピュータの世界を結び付けるのに優れており、身体の改造が難しいという根拠に基づいて認証に使用できます(多くの外科医が生体から生計を立てていますが)。ただし、これはローカルでのみ意味があります。

ジェームズ・ボンドの映画には良いイラストがあります(ピアース・ブロスナンが写っているものですが、正確には覚えていません)。ある時点で、ジェームズは指紋リーダーの付いた閉じたドアに直面しています。 Jamesには、スキャナーを含む気の利いたスマートフォンも装備されています。そのため、彼はリーダーをスキャンして、最後に使用した人の指紋のコピーを取得し、その後、彼の電話スクリーンを前に置きます読者;そしてlo!ドアが開きます。これはジェームズボンドの映画なので、完全に現実的ではありませんが、主な考え方は正しいです。指紋リーダーは、「何か」が正式な所有者に取り付けられた本物の指を本当に読み取ることができるかぎり有効です。

優れた指紋リーダーは、温度や血圧の測定など、さまざまな方法で指の信頼性を検証します(指が生きている哺乳動物に指が取り付けられており、ストレスがかかりすぎていないことを確認します)。別のオプションは、リーダーに武装したガードを装備することです。武装したガードは、全体が人間のものであることをチェックします(ガードは追加の顔認識デバイスとしても機能します)。これはすべてlocalである必要があります。オンプレミスの攻撃システムに対して本質的に耐性がなければなりません。

ここで、指紋認証remotelyを行う方法を想像してみてください。攻撃者は自分のマシンとリーダーを手に持っています。サーバーは、かなりの指紋スキャンを受け取ったときに、実際に指をスキャンした実際のリーダーからのものであることを信じる必要がありますたった今:攻撃者はリーダーを完全に省き、前週にターゲットのゴミ箱で収集した指紋から取得した合成スキャンを送信するだけで済みます。これに抵抗するには、改ざん防止リーダーが必要です。これには、暗号化キーも埋め込まれているため、リーダーは次のことをサーバーに証明できます。

  • それは本当の読者です。
  • 送信したスキャンは現在の日付に実行されました。
  • スキャンに伴って送信されるデータはすべてバインドされます(たとえば、通信全体がTLSを介して行われ、リーダーがサーバー証明書を確認しました)。

タイピングパターンを使用する場合、問題はさらに明らかになります。測定ソフトウェアは攻撃者のマシンで実行する必要があり、したがって、本当に信頼できる。リバースエンジニアリングを倒すという問題になります。一部のローテクの攻撃者を阻止するかもしれませんが、それがもたらすセキュリティの量を知ることは困難です。定量化できないセキュリティは、セキュリティがない場合とほぼ同じくらい悪いものです(誤った安心感を与えるとさらに悪い場合があります)。

ローカルコンテキスト利用可能な正直なシステムがある場所は、バイオメトリクスが認証デバイスとして適切に機能するコンテキストです。しかし、ローカルコンテキストはまたパスワードが適切なコンテキストです。正直な検証システムがある場合、そのシステムは厳密な遅延を強制できます。 PINを備えたスマートカードはそのようなものです。3つの間違ったPINが続けて続くと、カードはロックアウトされます。これにより、エントロピーの低いパスワードを安全に使用できます(4桁のPINには約13ビットのエントロピーがあります...)。

概要:バイオメトリクスは、パスワードがすでに十分なセキュリティを提供している状況でのみ、優れたユーザー認証をもたらすことができます。したがって、高価なデバイスが必要になるため、特にWebコンテキストでバイオメトリックデバイスを導入する経済的インセンティブはほとんどありません(純粋にソフトウェアではなく、改ざんが必要です-耐性のあるハードウェア)。

バイオメトリクスは、他にも優れています。ユーザーにいくつかの重いセキュリティを認識させるようにします。網膜をスキャンして建物に入る必要がある人々は、開いている窓を離れるなど、少し不注意である可能性が高くなります。

35
Thomas Pornin

ネットワーク全体で抽象化されているため、ほとんどのバイオメトリクスの実装は、「知っているもの」のカテゴリにまで煮詰めることができます。 「何かがある」でそれがどのように行われるかについては、 「何かがある」が「2要素」認証に対して通常どのように定義されているかを見てください

バイオメトリクスには、いったん資格情報が危険にさらされると、それを変更できないという問題があります。また、指紋システムに対するかなりの 愉快な妥協案 もあります。バイオメトリクスは特定の分野で優れていますが、一般的なデバイスを使用して私の銀行口座にログインし、パスワードがないのはその1つではありません。

最後に、統一された標準がないため、乗り越えるのが難しいコストの問題があります。デバイスは、キーボードのようにコンピュータに不可欠な部分ではないだけでなく、モデルが異なると、それらとインターフェースするために異なるシステムが必要になります。

19
Jeff Ferland

これらすべてをプライマリ識別子として使用すると、重大な問題が発生します。

例えば:

  • 指紋/手のひら-自転車から落ちて、地面に手をこすりつけたらどうなりますか?私の指紋はしばらくの間、おそらく永久に台無しにされています。
  • DNA-血液やDNAを含む他の物質を採取するのがいかに簡単か見ましたか?
  • タイピング-これはある程度成功していますが、反応は疲労感、感情の状態、キーボードの違いなどに依存します

これらはすべて、誤検知と除外の両方の影響を受けます。そのクロスオーバーポイントを低いレベルに下げることはできますが、完全に根絶することはできません。

危険にさらされた場合、識別子を変更することはできません-この問題はそれを完全に排除します!

攻撃に対してより耐性があると考えられている一部の生体認証(たとえば、網膜パターン)のもう1つの問題は、ユーザーがスキャンの侵襲性を本当に嫌うことです。現在、多くのエンドユーザーが指紋スキャナーを受け入れていますが(指紋が一意でないことが証明されているにもかかわらず)、網膜スキャナーを使用することは、煩わしく、恐ろしいものと見なされています。

したがって、現在のプロセス-ID、パスワード、トークンなどを初期識別子として使用し(必要に応じてすべて置き換え可能-知っていることまたはhave)、追加の予防策として生体認証を使用します以前のメカニズムが盗まれて攻撃者によって使用されるリスクを軽減する(おそらく何か)は、次の点で最適であると思われます。

  • サポート
  • 弾力性
  • 階層化セキュリティ
14
Rory Alsop

あらゆる場所で生体認証を展開する際の1つの問題は、登録です。私のブラウザーに "correcthorsebatterystaple"と入力するのではなく、政府発行のIDを使ってFacebookのオフィスに出向いて政府発行のIDを提示し、彼らが自分のWebサイトにログインする前に指紋を取得できるようにする必要がありますか? 6億5000万以上のユーザーがそれを実行するにはどのくらい時間がかかりますか?スタッフは何人ですか?スタッフのトレーニングにはどれくらいの費用がかかりますか?彼らはいくつの誤りを犯しますか?その多くのエラーを受け入れることができますか?ユーザーはFacebookが自分の指紋の詳細を所有するという考えに満足しますか?

12
user185

簡単に言えば、コストです。この場合、コストには、リソースコストと通貨コストの2つの形式があります。あらゆるタイプのコンピュータまたはシステム(デスクトップ、サーバー、メインフレーム、分散型、クラウドなど)の場合、組み込みの認証メカニズム(パスワード)を持っている可能性が高いです。バイオメトリクスをボルトオンしたり、平均的な使用のために統合したりするのにかかる時間とお金は大きすぎます。最も安全な環境またはデータのみがパスワード以上のものを必要とします。

私がバイオメトリクスで見る最も一般的な使用例は、物理的なセキュリティとシステムログインです(Active Directoryと考えてください)。生体認証は、セキュリティ、ロック、警備員、またはレーザーに何らかの種類のデバイスが既に必要であるため、物理的セキュリティでの採用率はまともです。生体認証のセキュリティと管理性の向上を選択することは、具体的な決定です。システムログインに関しては、システムへのアクセスを許可するというビジネスタスクをすでに達成しています。 Security Guysは、すべての影響に対処する必要があります。

10
Trent

システムは失敗する可能性があるため、多層防御アプローチが必要です。生体認証セキュリティシステムは ファジングマッチング に依存しています。 type-II error と呼ばれる攻撃を受ける可能性があります。これは、攻撃者が正常に認証されたことを意味します。

また Mythbustersがハッキングしました 。 (そしてそれらは唯一のものではありません。)

10
rook

バイオメトリクスに関する多くの技術的な問題は、上記でよく取り上げられています。クラスとしてのバイオメトリクスは依然として深い懐疑論に直面しており、当然のことです。セキュリティの専門家は保守的で慎重であり、次の問題に問題があると考えています。

  • 上記のテクノロジーのうち、商業的に成熟しているものはほとんどありません。私自身、DNA、歩行、嗅覚が真面目な議論に記載されている理由を知りません。
  • 多くの生体認証製品と技術は、R&Dラボではほとんど利用できません。キャンセル可能なバイオメトリクスは、今も注目の研究テーマです。活性検出は、実用的というより理論的です。セキュリティでは、候補となるソリューションが成熟しており、現実の世界で徹底的に揺さぶられ、認定されていることが重要です。これには10年以上かかります。
  • すべての生体認証テストは、偶然の一致のみが考慮される「ゼロエフォートインポスター」条件下で行われます。意図的な詐欺を評価するための標準化されたテストプロトコルはありません。これは、犯罪に抵抗するために使用されるセキュリティソリューションについて話しているため、考えてみると驚くほどです。 FBIが言うように、「すべての生体認証テクノロジーでは、エラー率は母集団とアプリケーション環境に大きく依存します。テクノロジーには、制御されたテスト環境以外では既知のエラー率がありません "( http://www.biometriccoe.gov/SABER/index.htm を参照)。
  • 最後に、業界はそれ自体が仕様を提示する方法に賛成しません。特に、エラー率は不正な方法で提示されることが多く、ベストケースの偽の一致率と偽の拒否率が並べて示されています。しかし、感度と特異性のトレードオフは、False Matchesが増加すると、False Rejectsが減少することを意味します。多くの場合、ベンダーは検出エラーのトレードオフ曲線を秘密にしています。特定の血管生体認証ベンダーから5か月間DET曲線を取得しようとしましたが、妨害されただけです。
10
Steve_Lockstep

生体認証(あなたが何か)+パスワード/パスフレーズ(あなたが知っている何か)= 2要素認証。それが一緒に使用される理由です。

バイオメトリクスがより広く使用されていないもう1つの理由は、1)バイオメトリクスシステムの実装にはコストがかかること、2)バイオメトリクスシステムは非常に低い偽陽性率を必要とすることです。 similar fingerprint/iris/whateverを持っている人へのアクセスをシステムに許可したくないので、システム(fingerprint/irisマップ)で多くの参照ポイントが必要になるでしょう。一種の精度。これらすべての参照ポイントを要求する際の注意事項は、システムが非常に信頼性の高い方法で毎回身体の一部を読み取ることができることです。これは非常に再現性が高く、現在のバイオメトリックリーダーでは不可能です。指紋リーダーで毎回まったく同じ方法で指をスワイプする必要はなく、毎回まったく同じ方法で眼球リーダーに頭を置く必要はありませんが、システムはすべてを取得するためにそのレベルの精度を要求する必要がありますアクセスが必要になるたびに確認する必要があるデータポイントこれにより、大量の再スワイプ/再スキャンが発生し、ユーザーにとっては非常にイライラし、システムによってはロックアウトされる可能性があります。

7
August

あなたの体があなたのパスワードであり、あなたのアカウントが何らかの方法で危険にさらされている場合、あなたのパスワードを変更する方法はありません。

7
ddyer

多くのバイオメトリクスが普遍的に利用可能ではないことを思い出してください。一部の職業(理髪、煉瓦など)は、日常的に指紋を判読不能にします。そして、それは指を使用できなくする先天性の欠陥、または指を取り除く事故を無視しています...人口の一部は、網膜スキャナーを機械的に(スキャナーへの反応)または網膜が読めないため(医学的状態)使用できません。したがって、理想的な生体認証ソリューションには複数の方法が含まれますが、すべてが同時に必要になるわけではありません。この時点で「巨大」と「コスト」という言葉が思い浮かびます。ただし、複数の同時メソッドは、非一意性の問題のいくつかを回避します(たとえば、DNAの場合)...

3
Rik

最大の問題は実装です。しばらくの間、Facebookがパスワードの安全性が高すぎると判断し、代わりに生体認証による識別を行うと決定したと想像してみてください。彼らはどのようにそれをしますか?ハードウェアはありません。それは標準的ではなく、ユビキタスでもなく、よく理解されていません。

悪い例?では、goodの例は何でしょうか?あなたの銀行?同じ問題。 ATMなどの高セキュリティ端末でも、主にシステムの慣性により、ATMが4桁のピンを使用することを期待しているのに対し、ATMハードウェアが周囲にあることを人々に思わせているため、パスワード(起動には4桁のパスワード!)に依存しています。世界にはテンキー以外の入力機能はありません。

IPv6の移行について少し考えてみてください。状況は緊急であり、移行は避けられません。テクノロジーはユビキタスで広くサポートされており、コストは最小限です。それでも、移行には10年以上かかりますが、導入が約0%で開始するのにちょうど良いところです。

さて、このようなバイオメトリクスへの移行について考えてみましょう。緊急でもなく不可避でもなく、テクノロジーのサポートと理解が不十分で、コストが高くなっています。そのような移行にはどれくらい時間がかかりますか?そんな時は二度と来ないと思います。

3
tylerl

多くの有効な点についてはすでに議論されていますが、 第5修正条項(米国法) および 自己侵害 についてはまだ誰も考えていません。他の国でも同様の法律があります。

コンセンサスは、パスワードを持っていることは、法執行機関に対して事前にあなたを置くということです、なぜならそれは、バイオメトリクスがない。

例えば。指紋の提示を強制される可能性があります。これはその後、警察などがスマートフォンのロックを解除するために使用されます。ただし、自分のパスワードを強制的に伝えることはできません。

他の多くの投稿の中で、 TIME憲法(憲法はパスワードを保護できるが指紋スキャンは保護できない理由) の記事があります。

2
Marcel

通常、認証資格情報の変更が必要になる可能性がある状況を完全に回避することが可能です。適切に設計されたほとんどすべてのシステムでは、侵害が疑われる場合にパスワードが置き換えられる可能性があります。対照的に、敵対者が誰かの眼球のガラス複製をなんとかして作成した場合、その人の目を置き換えることははるかに難しい命題になりがちです。

0
supercat