バンキングアプリのログオン-デバイス上の複数の指紋と1人が知っている2つのパスワード
昨日、iPhoneから銀行アプリにログオンしました。通常の手順は、次のような情報を入力することでした。
- 秘密の質問への答え。これは完全に入力する必要があり、各ログイン中に同じでした。
- 追加の文字列から3文字。求められる特定の文字は、ログインごとに異なりました。
これをより安全にするために「アップグレード」しているというメッセージが表示されました。セキュリティの回答([1]とは異なる文字列)を設定する必要がありました。ただし、これを使用した後は、この情報を使用する代わりにタッチ(指紋)IDを使用できることを示しただけです。
理論的にはこれで問題はないように聞こえましたが、デバイスに指紋でアクセスできる人なら誰でもうまくいくと言っていました。問題のデバイスはiPhone SEです。 iPhoneで複数の指紋が機能する可能性があることを考えると、これが実際にどれほど安全か疑問に思っていましたか?
私はこれについていくつかの考えを持っています:
- [1]と[2]のように詳細を入力する必要がある場合は、私だけが知っています(リークされない限り)。したがって、理論的には、これらの詳細(私)を知っているのは1人だけです。
対:
- 他の誰かが私が使用するデバイスで指紋アクセス権を持っている場合、追加の詳細なしでアプリに入ることができます。
これが共有デバイス(家族のiPad /電話など)である場合、私の考えはどうでしたか?これは可能です-そして、かなり頻繁に-例:
あるいは、重要な他の人とiPadを共有していて、彼らもTouch IDを使用したいと考えています。 Touch IDセンサーで別の指を使用したい有効なシナリオはいくつもあります。幸いにも、Appleこれは予想されました。iOSでは、指紋をデバイスにいくつでも追加できるためです。
(情報源: https://www.howtogeek.com/205525/how-to-add-touch-id-fingerprints-to-iphone-or-ipad/ )
前の方法では、誰かが知っている詳細のみを入力することに依存していましたが、複数の人が実行できる方法と比較しました。
これが深刻な問題である場合に備えて、銀行には名前を付けません。
これが本当にセキュリティの観点から正しい方向への一歩であるかどうか、および以前の方法よりも利点/欠点があるかどうかについて誰かが詳細を提供できますか?
複数のフィンガープリントの問題:銀行アプリケーションは、実際のフィンガープリントも、それの数学的表現(数値やハッシュなど)も保存できません。アプリケーションが受け取る唯一のものは、「true」または「false」のようなものです。つまり、Touch IDが成功した場合は「true」、失敗した場合は「false」を意味します。セキュリティ上の理由から、実際には all Appleが提供します。アプリケーションはデバイスの特定の指紋を要求できません。
これは、iPhoneがTouch ID認証をアプリケーションに提供するため、iPhoneのTouch IDで認証された他の人も銀行アプリケーションを使用できることを意味します。
ですから私があなただったら、銀行のアプリケーションをTouch IDに変更することはありません。