認証用のものを使用する方が安全ではありませんか？

重要なことを忘れてしまうことがあります。システムはthingsを保護しています。あなたと同僚はpeopleです。誘拐されたときは、協力して、人への危害をできるだけ少なくするようにしてください。それだけの価値はありません。

この修正された態度では、強盗ではなく泥棒でのみ機能するため、どのセキュリティシステムを選択しても問題ありません。

犯罪は主に日和見的であると言われているため（特に 設計研究者 ）、誰かの指をつかむことは、キーホルダーをつかむよりも実行するのがかなり難しい機会であると思います。実際には、3つのシナリオすべてで、攻撃者のオプションは限られています。

1. 認証要素を盗む
2. 因子をバイパスし、自分の道を強制する
3. お店の開閉時にピギーバック

実際には、＃3は宝石店に対する最も一般的な攻撃であると言われています（2014年のフランスのニュースレポート、リンクはありません）。 1と2のみが使用中の認証要素の影響を受けることに注意してください。

認証要素を盗む

キーリングを使用すると、攻撃者は慎重にまたは強制的にキーを取得し、警察に報告する前に行動する必要があります。攻撃者は高速で移動する必要があり、理想的には報告を阻止する必要があるため、サイトで行うのが最適です。

パスワードを使用すると、攻撃者はあなたの入力を監視する必要があるため、＃3の方が簡単です。認証はオフラインで行われるため、フィッシングは破棄します。代わりの方法は、ITシステムに侵入してパスワードを盗むことですが、それを実行できる人物は、想定される日和見的な犯罪者をはるかに超えています。

フィンガープリントでは、資格情報の秘密の盗難が少し異なる点を除いて、キーリングと同じです。バーでグラスを盗むのは簡単かもしれませんし、庭のテーブルに置いた鍵を盗むのも簡単かもしれません。いずれにせよ、目立たない盗難は完全に簡単なものではありません。

残りについては、私の指紋が盗まれて盗難の犯人に指定された場合、私は個人的に説明責任を心配し、1つではなく複数の要因の組み合わせを主張します。しかし、指紋リーダーは、そのコンテキストでのパスワードやキーよりも安全です。

バイパス要因

ここでは、攻撃者が自分の犯罪経験に基づいてキーロックをバイパスする方が簡単かもしれません。攻撃者はドアではなく窓を突破する可能性が高く、アラーム+ CCTVはドアの認証メカニズムだけでなく適切な保護になります。

ピギーバック

誰かが侵入する最も簡単な方法は、あなたがドアのロックを解除してその時にあなたを攻撃するのを待って、あなたを後ろに閉じさせることです。これは日和見的な仮定の範囲内で機能し、事前の準備、専門知識、機器はほとんど必要ありません。

結論として、どの認証方法が使用されているかについて偏執的ではなく、店舗を開閉するときは注意が必要です。

ほとんどの企業では、従業員が泥棒と協力して能力を最大限に発揮すること、および火災、盗難、自然災害で失われたものを交換するための保険が必要です。悪い報道を修理して労働者に補償金を支払う（さらに悪いことに、あなたの配偶者が死んだ後に彼らを訴えた場合に支払う）ことは、はるかに高価です！それだけの価値はありません！

攻撃者があなたにパスワードを解読させるように拷問すると思われる場合は、許可しないでください。尋ねられたときにパスワードを伝えるだけです！攻撃者が指を切り取ろうとする場合は、指を使ってスキャナーをロック解除します。火災警報器やそのような愚かなものを発射したり、静かに手を下げて無音警報器を押したりしないでください。機会があればそうしますが、数千ドルの保険商品を守るために愚かなリスクを取らないでください！

この現実は、結果として生じるセキュリティポリシーに重要な結果をもたらします。従業員は能力を最大限に発揮して協力できなければなりませんが、保険料率を低く保つには、大量の現金を受け取ることができません。これが、30分遅れの金庫などのポリシーの理由です。従業員は、キー、パスワード、指紋を使用してロックを解除できますが、30分はラッチを解除できません。これは、配達ドライバーが一定の金額より少ない現金を手元に置いておく理由でもあります。脅迫された場合、配達ドライバーはすべての現金を手放しますが、それだけの価値はありません。

おそらく、24時間前に別の方法でプログラムされていない限り、アラームは常に閉店時に作動し、常に開店時に作動するように設定できますか？シナリオを考えてみましょう：攻撃者が見えたら、あなたは外に出てドアを閉めています。彼らは「あなたのコードにキーを入れる/あなたのキーを使う/指紋をスキャンして警報を解除する！」と言います。ここに掲示されているこのサインを見ればわかるように、キー入力の時間です。明日の午前7時までは武装解除できません。午後9時28分なので、2分後に武装しますか。次の2分間で手に入れられるものは何でも運ぶのを手伝ってくれませんか？時間内に取り戻すことができるという保証はありません。そして、防犯カメラが入っている金庫のロックを解除することはできませんNASでも、時間の遅れは...私は私の財布に50ドル持っています。それはあなたが持っていることができます。私の上司は明日の朝私に払い戻します。」

生体認証の「セキュリティ」は、いくつかの主要な点で通常のものとは異なります。

まず、通常の認証方法よりもはるかに便利です。 「あなたが誰か」があなたのパスワードであるなら、あなたは本当にそれをなくすことは決してできません。キーフォブまたはピンコードは簡単に紛失、盗難、または忘れられる可能性がありますが、虹彩パターンまたは顔の形状を分離することは非常に困難です（大きな事故や極端な悪意がない限り）。

第二に、それは 否認防止 のより大きな保証を提供します。セキュリティシステムがお金の入った金庫を開くことだったとしましょう。お金が盗まれて、キーフォブだけで保護されている場合、自分でお金を盗んだのではなく、誰かがあなたから認証方法を盗んだと主張するのは簡単です。パスコードを使用すると、保護が多少強化されますが、パスコードが盗まれ、知らないうちに使用されたことを簡単に示すことができます。認証が指紋であり、すべての指がそのまま残っている場合、実際にお金を盗んでいないことを証明することは非常に困難です。

この2番目のポイントは、認証における実際の問題の原因です。個人の認証方法が実際に盗まれた場合、お金を盗んでいないことをどのように証明しますか？さらに、認証方法が重複している場合、「パスワード」をどのように変更しますか？

セキュリティの点では、それは間違いなく、キーフォブとして指紋を使用するまったく同じセキュリティです。どちらも、アクセスするために盗まれる単一のアイテムを必要とします。パスコードも同じです。強盗がアクセスするために行かなければならない労力の点では、パスコードは最も労力を要し（パスコードを取得するために拷問）、キーフォブまたは指紋はまったく同じ労力（何かを盗む）を必要とします。指紋を盗むことはかなり恐ろしいことですが（個人のアイテムを盗むのではなく指を盗むこと）、攻撃者が必要とするのと同じ努力であり、したがって同じセキュリティです。

バイオメトリクスは通常、初期認証ではなく継続認証に最適です。自分以外のいくつかのデータ項目は、最初に自分が誰であるかを述べるために使用され、次に自分自身がアクセスの維持に使用されます。これは、ウェブカメラに顔認識ソフトウェアを搭載したラップトップで使用されています。パスワードを使用して最初にログインすると、Webカメラは目の前に座っているときに顔を見ます。起き上がると、生体認証が行われなくなったことを検出し、コンピューターをロックします。

説明した状況は、「標準」認証ではなく生体認証を使用していますが、依然として単一要素認証です。単一要素認証のみを使用する場合は、パスコードの方が適しています。多要素認証を使用する場合は、キーフォブとパスコードまたはパスコードとバイオメトリクスがより良いオプションです。

あなたの状況で注意する必要があるのは、人間と金銭の両方のコストです。どんなビジネスも強盗に対する保険を持っているべきです。あなたの店が奪われてあなたのスタッフがキーフォブを盗まれるのを好むか、あなたのスタッフが彼らの指/目を盗まれるのを好むだろうか？また、パスコードがパスワードと同じくらい安全である場合、指紋スキャナーに適合させることは本当にお金の価値がありますか？

したがって、あなたの質問に答えて、彼ら自身のバイオメトリクスはパスコード認証よりもおそらく安全性が低く、攻撃者が本当にアクセスを取得したい場合は（バイオメトリクス署名の所有者にとって）より危険ですが、誰かがアクセスしたことを証明するのは少し優れています彼らが持っていないと言った場合は何か-それらのバイオメトリクスが実際に盗まれるまで、実際には持っていないのにあなたが何かにアクセスしたことを証明するのが得意です。