web-dev-qa-db-ja.com

生体認証IDは怖いですか?

イスラエルの内務大臣は、生体認証IDを導入するための法律を推進しています 。一方では、個人情報の盗難を防ぐのに役立つという彼の主張を聞いています。一方で、何かがany政府の手に私の生体認証「パスワード」を持っていることに非常に緊張しています。私はDNAを変更して新しいパスワードを取得できないため、ハッカーが何らかの方法でその「パスワード」を盗んだ場合にどうなるか心配しています。

けれども、バイオメトリックIDの実際のリスクを完全に理解していないため、私の不快感は主に感情的です。

誰でも、もしあれば、生体認証システムのリスクを明確に説明できますか?

64
Shaul Behr

リンクされた記事に基づいて、この提案で使用されるバイオメトリクスは、 最近使用されたもの に似ています ジョージア(米国)運転免許証 :写真と指紋データ。したがって、この動きは前例がないわけではありません。

リンクされた記事は詳細が少し不足しているため、提案された法律の正確な規定を調査せずに個人へのリスクが何であるかを評価することは困難です。しかし、特定の架空のシナリオが関連しているようです:

  • 法律は、バイオメトリックデータ(写真と指紋)の政府エスクローを要求または許可する可能性があります
  • 法律では、ID自体に印刷された人間が読み取れる生体認証データの表現(写真と指紋画像)が必要になる場合があります
  • 法律では、生体認証データの機械可読な表現を1つ以上の形式でID自体に印刷することを義務付けることができます。
    • 光学的に読み取り可能(つまり バーコード または CQコード
    • 無線または磁気エコー、近接のみが必要(RFIDなど)
    • 物理インターフェイスを備えた組み込みデータストレージデバイスとして

政府によるバイオメトリックデータのエスクローには、個人のプライバシーとセキュリティに関する明らかな懸念事項があります。

  • データ自体の所有は、参加が自由で個人の自発的でない限り、個人のプライバシーと尊厳の本質的な違反です。今日の文化では、この点は見過ごされたり、ささいなことになったりすることがよくありますが、政府が個人に関する非常に個人的なデータを収集することは本当に「気味が悪い」だけであり、そのように感じるのは問題ありません。
  • 宣言されたデータの使用目的を考慮する必要があります。通常、これらは十分に妥当であり、個人にとっても有益です(詐欺防止など)。
  • 宣言されていないが可能なデータの使用を考慮する必要があります:

ただし、実際問題として、政府がおそらくあなたの写真と指紋データをすでに所有している可能性があるかどうか、そしてもしそれらが所有している場合、その使用に関して現在どのような制限が設けられているかを尋ねる必要があります。そして、それらが提案されているものとどのように比較されるか。

提案されたパスポートの技術的特徴は、そこに含まれる情報の種類と組み合わされて、個人のリスクの程度に大きく影響します。

  • 個人データのRFID可読性 は非常に危険です。財布やブリーフケースの中に安全に保管されているパスポートでさえ、近くの人が適切な機器を持っているか、静止したウェイポイントで読み取ることができます。ワシントン州(米国)は、彼らの強化された運転免許証は、成功した攻撃者が不透明なID番号を取得することしか許可していないと主張しています。ただし、そのID番号は依然として個人に固有であり、名前や自宅の住所などの詳細を直接取得することが困難な場合でも、ID番号自体を他の非政府機関に関連付けたり、その外観や行動を追跡したりすることは可能です。 ID番号。 (基本的に、ワシントン州の運転免許証は、開発者ツールでクリアできないことを除いて、Web上のCookieと同じプライバシー問題を抱えています。彼らの制度がいかに悪いかを認めて、彼らは彼らに「保護スリーブ」を提供しています。)
  • 光学バーコードまたはCQコード、または磁気ストライプには、デバイスを表示またはタッチできる必要があることを除いて、RFIDと同じ問題があります。少なくともあなたがそれをあなたの人に持っていて、視界から隠されている限り、あなたはあなたが知らないうちにデバイスが読まれるのを防ぐことができます。

次に検討することは、「悪意のある人」がバイオメトリック情報を入手したら、それをどのように処理できるかということです。また、パスポートや政府から入手することなく、同じ情報を入手できますか?これらの答えは、この強制システムを導入することの社会的影響に大きく依存し、予測するのは困難です。

この提案に直接適用される一般的な必須の生体認証識別に対する非常に強力な主張は、生体認証が有用であるためには不変でなければならないということです。しかし、それがまさに彼らを個人にとって危険なものにしているのです。誰かが私のWebサイトのパスワードを推測または入手した場合、うまくいけば(サイトのデザインが良ければ)パスワードを変更できます。しかし、指紋や肖像、網膜や虹彩は変更できません。誰かがなんとかそれを入手して使用した場合、それは永久に危険にさらされます。

最後に、そして重要なことに、この生体認証システムの使用は、「悪者」があなたまたは あなたの体の一部を切断する を誘拐するインセンティブを提供しますか?私が知っている、セキュリティの問題について考えたくない人は、私がこれを尋ねるとしばしば私を笑います。しかし、私が銀行口座にたどり着くために誰かが私の財布を盗む-- 人差し指より を盗むので、それは深刻な問題です。しかし、パスポートに写真と指紋が使用されている場合、これが当てはまるかどうかは明らかではありません。

あなたは恐れるべきですか?今日のイスラエルで他に具体的にどのような指紋の使用法が一般的であるか、またはそのようなものを悪用するためにどのような種類の情報共有の文化が存在するか、または湧き出る可能性があるかについて、直接回答するのに十分な知識はありません。率直に言って、 私は考えることができますはるかに悪い計画 です。

18
wberry

それに関するいくつかの考え:

  • 生体認証データは簡単にアクセスでき、追加の認証としてのみパスワードとして使用するべきではありません。
  • 自由 が十分に説明したように、政府はすでにあなたを追跡しています。
  • 指紋などの生体認証データは、生の画像として保存されるのではなく、ハッシュの形式で保存されます。アルゴリズムは特定の特性を抽出します。このデータから指紋を復元することはできません。それでも、このデータを使用して一部の認証をだますことができる場合があります。
  • 生体認証データが悪用される可能性があります。 DNAマーカーには、医学的問題や祖先に関する情報が含まれている場合があります。現在、法医学チームは、DNAから人がどのように見えるかを再構築しようとしています。
  • 不要なデータは保存しないでください。特に一元化されていません。

私はこれに反対しています:恐怖の前の自由。

コメントのため更新

「恐怖の前の自由」で、私はドイツ語の「Freiheit statt Angst」のスローガンを翻訳しようとしました。テロや犯罪を恐れるため、自由を放棄する傾向があります。この場合、自由はあなたの個人データの管理です。変更できないデータ。あなたが誰であるかを定義するデータ。このデータは、誰かがパスポートをコピーするのを止めるか、またはそうしないかもしれません。とにかくテロを止めることはできませんが、データが誤って使用されるリスクを生み出します。

すべての外国人を調べることができるDNAのデータベース。独裁者はこれで何ができますか?病気になる可能性があることを保険に伝えるデータベース。このデータで将来何が可能になるか誰が知っていますか?

このようなデータベースを作成すると、悪に利用される可能性が常にあります。どのように、どのようにして伝えるかは不可能ですが、それはあなたにとって良いことではありません。

38
PiTheNumber

政府はすでにあなたの写真、指紋、出生証明書を持っています。それはあなたがどこに住んでいるのか、税金や請求書などであなたが持っているものを知っています。カメラで顔認識を使用して公共の場所であなたを追跡したり、インターネットトラフィックを盗聴したり、電話を聞いたり、SMSを読んだりできます...結局、追跡するために生体認証IDとパスポートが本当に必要だと思いますか?

ジーンズにバイオメトリクスIDが付いている通りを歩いても、GPSを備えたスマートフォンよりも追跡可能にはなりません。一方、IDとパスポートを偽造することははるかに困難になる可能性があり(お金と決断で何も不可能なことはありません)、これは偽のパスポートとIDと一緒に旅行しようとしているスパイ、テロリストなどに悪影響を及ぼすだけです、普通の市民が心配する必要があることは何もありません。しかし、私は知っています...私もそれが好きではありませんが、私たちは現実的でなければなりません。

MicrosoftがWindows 10ですべての生体認証データを取得しようとしていることについては、政府よりもはるかに心配しています。セキュリティで有名ではない民間企業は、はるかに不安です(他の企業でも同じです)。

多くの企業サイトなどが通常のパスワードをバイオメトリクスに変更し始めたとしても、政府が何にでも簡単にログインできるようになるため、問題になります。ですから多分、昔ながらのパスワードに固執する方が良いでしょう。

11
Freedo

「バイオメトリクス」に基づくシステムが脆弱になると想定するアプリオリ理由はありません。潜在的な攻撃に対する耐性を評価する前に、セキュリティプロトコルisを知る必要があります。バイオメトリクスに基づくだけでは、賢明な評価を行うには不十分であることを知っているだけです。

私の見解では、バイオメトリクスの適切な用途は、アクセス時にバイオメトリクス係数が測定される予定であるものを再測定することです。たとえば、拇印を保存し、国に入るのに一致する親指スキャンを要求することは、許可されていない人を排除する効果的な方法です。この使用例では、指紋データを盗んだとしても、許可されていない人が国に入ることはできません。彼らはあなたのものと一致するように彼らの親指を-change-しなければならないでしょう。そして、この場合、保護されているのは国へのアクセスであり、個人の銀行口座ではありません。誰かがあなたの「盗まれた」拇印を使って入国した場合、特にあなたに損失はありません。

それで、私は「バイオメトリクス」について100%熱狂的ではありませんが、テクノロジーのブランチ全体を非難する前に、セキュリティプロトコルが何であるかを尋ねることによって客観的なままにしましょう。

1
Atsby

この質問は2か月以上前に尋ねられ、回答されましたが、 イスラエルの国家検察官 は、存在することを主張するレポートを発行しました "州の生体認証データベースの基本的なデフォルト" (ヘブライ語)。

リンクされた記事から:

הממצאיםבדו"חמבקרהמדינה:היעדרמידעונתוניםאודותתופעותגניבתהזהותוההתחזות、לקיחת430אלףטביעותאצבעבסורקשהיהספקלגביאיכותביצועיוואיבחינתהחלופותלמאגרהביומטרי。בינתייםמסתמןשתקופתהמבחןתוארך

翻訳(私が):

State Comptrollerレポートの調査結果:個人情報の盗難となりすましの現象に関する情報の欠如、430,000の指紋が疑わしいパフォーマンスのマシンで取得され、生体認証データベースに代わる選択肢の欠如。なお、試用期間は延長されます。

日光が一番の消毒剤 であると私は固く信じているので、チェックとバランスのシステムが機能していると感じています。この試用期間で問題が見つかり、公開されました、修正中です。生体認証データベースは完璧ではなく、市民のその他のデータベースも完璧ではありません。しかし、少なくともこの場合、問題を見つけて修正するために最善の努力が払われていますpublicly

1
dotancohen

すぐに頭に浮かぶ1つの例は、犯罪現場に他の誰かの指紋を植えることです( 偽の指紋 を検索するだけです)。指紋は貴重な商品です。

0