私は最近、インターネットベースのサービスを使用するためにオンラインで自分自身を認証する必要がありました。認証プロセスは、私のIDカードをラップトップのカメラの前で顔の横に置いて、ビデオ通話で行いました。また、ビデオ通話の反対側にいる人がIDカードに印刷されているセキュリティ機能を見ることができるように、IDカードを少し揺らす必要がありました。
次に、IDカードの前で手を振るように頼まれたため、IDカードの前に数回手で完全に覆われました。
この方法は何を達成することになっているのですか、またはこれは単なるセキュリティシアターですか?
この特定はドイツの法律に従って行われた可能性が高いため、この要求は BaFin Circular 3/2017 に準拠することでした(拘束力のない英語の翻訳で):
身分証明書の部品または要素の置換/操作は、適切な手段で対処する必要があります。このためには、たとえば、身分証明書のセキュリティに関連する部分(システムによって可変でランダムに決定されます)に指を置き、片手で顔を横切るように、識別される人物に尋ねる必要があります。切り取られて拡大されたこれらの動きの静止画を使用して、従業員は、身分証明書と、白色光で視覚的に識別可能なすべてのセキュリティ機能が適切な場所で完全に覆われており、操作を示すアーティファクトが明らかでないことを確認する必要があります。遷移点。
したがって、その理由は、送信するビデオフィードの潜在的な操作を明らかにするためです。適切な代替を準備することを困難にするように求められる可能性がある十分で予測不可能なタスクが必要です。
検査中のアイテムの表示をブロックする動きは、実際のアイテムの代わりとしてビデオのオーバーレイ画像を使用しようとする人を倒すのに役立ちます。
たとえば、私はあなたのID(セキュリティ機能を示す)の短いビデオを撮って、実際のIDの代わりにライブビデオにオーバーレイすることができます。しかし、手を前に振ると、リモートビューアはそれがビデオオーバーレイではないことを確認できます。
本当の脅威?はい。私たちが見た偽の動画を見て、誰かが自分がしたことのないことを誰かが言っているように見せることができます。テクノロジーは存在し、使用されています。
A credible脅威?問題はありますが、緩和策は費用がかからず、関係者全員にとって簡単で、簡単です。したがって、緩和のコストはごくわずかです。
それは「セキュリティシアター」ではないということです。それは実際にリスクを扱います。しかし、現時点でそれは境界線にあるかもしれないことに同意するかもしれません。来年、私はこの回答を編集する必要があるかもしれません。
リーサルコーダーや他の人たちは、手を振るのは簡単にできると主張しました。しかし、それは要求の要点を欠いています-それはおそらく事前にだまされないであろう予期しない要求です。明日、彼らはあなたの携帯電話の時間、または今日の紙(誰かがそれらを読んでいるかのように)、またはIDの前にある他のランダムなアイテムを示すように頼むかもしれません。これは、IDプロセスでほぼ同時に、同じタスクを常に要求する場合にのみセキュリティシアターになります。
なぜ手を振る必要があるのかについて、シュローダーは答えでそれを非常によく説明しました:
「検査中のアイテムの表示をブロックする動きは、ビデオ上のオーバーレイ画像を実際のアイテムの代わりとして使用しようとする人を打ち負かすのに役立ちます。たとえば、私はあなたのIDの短いビデオを撮ることができます(セキュリティ機能を示します) )、実際のIDの代わりにライブビデオにオーバーレイします。ただし、手を前に振ると、リモートの視聴者はそれがビデオオーバーレイではないことを確認できます。」