セキュリティのための自撮りの利点は何ですか？

潜在的な欠点は多数あります。

• アプリケーションは電話のカメラにアクセスできる必要があります（または機能しません）
• 人々はいつも自分の写真を送ることに問題があるわけではない
• ユーザーは写真を作成するために必要な条件を持っている必要があります（良い光、他の人の不在、または写真以外のもの）
• ドイツのような一部の国は、人々のプライバシーに非常に神経質です（ユーザーだけでなく、他の何でも、誰もが含まれます）。
• 一部の場所では、カメラを使用することはまったく禁止されています（セキュリティ上の理由から）
• 一部の文化では、写真の作成と送信に問題があります
• ...

ここにいくつかの疑わしい利点があります：

• 一部のユーザーは、長いパスワードやその他の種類の文字と数字を使用するよりも、自分撮りを作成する方が簡単な場合があります
• 1回の自分撮りチェックを偽造することはそれほど難しいことではありませんが、自分の自撮り写真を頻繁に偽造するのは面倒です（たとえば、ログインするたびに）。だから、それはかなり良いチェックです。
• すべての自撮り写真を保存して、必要に応じて調査に使用できます。そのため、不審な取引をすべてキャンセルできます（ただし、GDPRと同様のプライバシー法を忘れないでください）。

画像を所有し、ユーザーに個人的にまたは少なくともユーザーが認識できる（---）画像を表示および表示する根拠（以下）があります。ただし、「自分撮り」はこのカテゴリに分類されますが、のみ自分撮りの使用を許可する理由がわかりません。

偽の（フィッシング）サイトを防ぐ1つの方法は、ユーザーが以前に選択/アップロードした認証プロセス中に、Webサイトが何か（画像など）を表示することです。実際のサイトでは、ユーザーは画像を認識し、（合理的に）安全であることを確認します。フィッシングサイトは、（深刻なデータ侵害がなければ）どのユーザーにどの画像を表示するかを知らないため、画像が表示されない（またはユーザーが期待している画像ではない）場合は、何かが間違っていることがわかります。

フィッシング：一般情報 からAnti-Abuse Projectウェブサイト：

パスワードログインの拡張

Bank of Americaは、ユーザーに個人的な画像を選択するよう要求し、このユーザーが選択した画像を、パスワードを要求するフォームとともに表示するいくつかのWebサイトの1つです。ユーザーは、選択した画像が表示されたときにのみパスワードを入力するように指示されます。正しい画像が表示されない場合、彼らはそのサイトが正当でないことを認識することが期待されています。ただし、最近の調査によると、画像がない場合にパスワードの入力を控えるユーザーはほとんどいません。この機能（他の2要素ユーザー認証の形式と同様）も、スカンジナビアの銀行Nordeaが2005年後半に、Citibankが2006年に受けた攻撃など、他の攻撃の影響を受けます。

論文 フィッシングに対する戦い：動的セキュリティスキン （PDF）byRachna DhamijaおよびJDTygar含まれています：

4.3パスワードウィンドウへの信頼できるパス

そのディスプレイのすべてのユーザーインターフェイス要素が偽装される可能性がある場合、ユーザーはクライアントディスプレイをどのように信頼できますかユーザーがディスプレイとシークレットを共有するソリューションを提案します。これは、第三者が知ることも予測することもできません。ユーザーとディスプレイの間に信頼できるパスを作成するには、まずディスプレイがこの秘密を知っていることをユーザーに証明する必要があります。

私たちのアプローチはウィンドウのカスタマイズに基づいています[16]。ユーザーが認識できる方法でユーザーインターフェイス要素がカスタマイズされているが、他のユーザーが予測するのが非常に難しい場合、攻撃者は未知の側面を模倣できません。

図1：信頼されたパスワードウィンドウは、ウィンドウとテキストボックスのなりすましを防ぐために背景画像を使用します。

_{出典：SOUPS 2005：Proceedings of the 2005 ACM Symposium on Usable Security and Privacy、ACM International Conference Proceedings Series、ACM Press、2005年7月、pp。77-88}

また、個人的な経験から、英国のNational Savings and Investment（NS＆I）のWebサイトでもこの手法が使用されています。