web-dev-qa-db-ja.com

MasterCardはパスワードを自分撮りに置き換えたいと考えています。これはどのようにセキュリティを向上させますか?

MasterCardは、パスワードを自分撮りに置き換えることを目指しています。 リンク1リンク2リンク

Identity Check Mobileアプリケーションを使用すると、顧客はパスワードやPINを入力する必要なく購入を完了することができます。これは、会社が購入を完了する可能性を高め、セキュリティを向上させることを期待しています。

これはどれほど正確にセキュリティを向上させますか?たとえば、 この質問 は、顔認識があまり安全でないことを示唆しています。

MasterCardによると、顔認識アプリケーションはパスワードよりも安全です。彼らはそれをどのように達成しましたか?

passwordsmobile
26
user126602

リンクされた質問への回答で明らかにしたように、私はバイオメトリクスのファンではありません、そして現在の研究は、特に顔認識は貧弱な認証メカニズムであることに同意していると思います。

とはいえ、パスワードにも問題があります。ユーザーは適切なパスワードを選択するのが非常に苦手で、ユーザーはパスワードを再利用し、パスワードは紙またはテキストファイルに書き込みます。最初の問題はパスワードルールで軽減できるかもしれませんが、パスワードルールもそれを悪化させる可能性があります。その他の問題は、ユーザーを教育することによってのみ軽減できます。

これらの問題はバイオメトリクスには存在しません。セキュリティは完全にあなたの手にあり、ユーザーが失敗する方法はありません。

プレスリリース に記載されているように、新機能はアプリにリンクされているため、認証メカニズムは2つの要素(ユーザーが持っているもの-電話-と、ユーザーが何であるか)に基づいていると考えるのが妥当です。 - あなたの顔 - )。

このプロセスでは2FAを使用するため、バイオメトリクスを使用しても十分に安全です。バンキングは他のトランザクションよりも安全であるように思えるかもしれませんが、歴史的にはかなり弱いものでした(カードの4桁のピン、8文字以下に制限されたパスワードなど)。すべてのセキュリティ違反は別の方法で処理されました(トランザクションの逆など)。 「セキュリティの向上」についての話は、おそらくマーケティングだけです。

29
tim

これについて少し考えてみると、Mastercardの視点がわかりますが、「パスワードよりも安全な」ことはおそらく彼らのビジネスモデルと近いコピーにのみ当てはまると思います。

まず、以前のクレジットカードでの支払い方法は、店内の誰かにカードを引き渡すことでした。その人は、カードのコピーを物理的に作成し、購入した商品を持ち帰ることができます。カードが盗まれたことが後で判明した場合、クレジットカード会社には多くのリスクはありません。しかし、ほとんどのカードは盗まれず、盗まれたカードが時折収益をあまり相殺しなかったため、リスクは管理可能でした。

電話とオンラインの支払いシステムが登場し、今では状況はさらに悪化しました。正当に見えるカードを物理的に所持している代わりに、必要なのは名前、カード番号、そして場合によっては郵便番号だけでした。簡単に盗まれ、調べられ、オンラインで共有される可能性のあるすべてのもの。確かではありませんが、クレジットカード会社のリスクが劇的に高まったに違いありません。

Mastercardが支払いにクレジットカードを使用する主な方法として独自のスマートフォンアプリを確立できる場合(関係者すべてにとって非常に簡単になるため)、ccの詳細が盗まれるのがはるかに少なくなります。

自撮り写真とアプリの組み合わせは、これが機能するために完璧である必要はありません。非常に安全である必要もまったくありません。カメラの前で誰かの写真を保持するなどしてアプリをだますことができるかどうかは関係ありません。なぜなら、それは全体像に関するものだからです。そして全体像では、クレジットカード窃盗犯は現在、クレジットカードを盗みません人々の財布をインターネット上で販売-ハッキングされたオンラインデータベースからクレジットカードの詳細を数百万ドル盗みます。だからそれは彼らが対抗する必要のある脅威ですほとんど-人々のスマートフォンが知人に盗まれたり悪用されたりすることを心配することは、それと比較してあまり関係がないように思えます。

したがって、邪悪な双子がアプリをだまして何かを購入させたり、2、3の詐欺師が知人に電話を貸したり、決済アプリで写真を撮ったりした場合、クレジットカード会社は気にしません-それはいつものようにして、被害を受けたパーティーに払い戻しを行います(そして、邪悪な人々が被害者と社会的につながっているため、簡単に特定できるため、前述の邪悪な双子/知り合いからの損失を喜んで回復します-しかしそれはさておきです) 。それが本当に気にするのは、盗まれたcc情報による巨大な損失であり、顧客が自分のccの詳細を100の異なるオンラインストアを渡す代わりに、オンライン決済に使用されるすべての顧客のスマートフォン上にある適度に安全なアプリは大幅に減少しますクレジットカード会社のリスク。

だから自撮りがパスワードよりも安全かどうかは関係ないと思います-これを行う実際の理由は、自分撮りがスマートフォンのキーボードでパスワードを入力するよりも速くて簡単で、おそらくユーザーが使いやすいのでオンラインアカウントにログインしてccの詳細を入力する代わりに、スマートフォンアプリで支払いを済ませることで、多くのcc所有者が好むようになります。

23
Out of Band

Tim が指摘するように、顔認識は実際には2要素認証の一部であり、他の要素は電話の所有です。これにより、認証に生体認証を使用することでよく知られている問題の一部が軽減されます。

しかし、それでも、これは安全ではありません。

  • 携帯電話に物理的にアクセスできる人は、カメラの前で保持するために、あなたの写真(およびビデオ)にもアクセスできる可能性があります。顔認識はそれでだまされないように十分ですか?
  • 文字通りの邪悪な双子、またはあなたのように見える兄弟だけはどうですか?あなたの電話を所持している誰かがあなたのように見える確率は、ランダムな見知らぬ人の確率よりも高くなります。
  • 友達の電話を借りて、バッテリー切れでテキストを送信する必要があると言ってください。銀行アプリを起動して、認証用の写真が必要になるところまで行きます。 「ああ、私はあなたの新しい散髪が大好きです。美容師にも同じことをしたいと言っています。」スナップ。

最後の1つは軽減できます(フロントカメラのみの使用を許可し、電話がカメラモードではなく認証モードであることを明確にします)。しかし、最初の2つは何もするのが難しいです。

9
Anders

それは顔認識システムの実装に依存します。従来の実装は、パスワードよりも安全性が低い可能性が非常に高いです。

Wikipediaのページ で確認できるように、提案している攻撃を防ぐことを目的とした顔認識の技術があります。つまり、3次元認識、肌の質感分析、サーマルカメラなどです。携帯電話とPCでは、最初と2番目のオプションは可能ですが、3番目のオプションは不可能です(少なくとも現時点では)。

これらの手法は、生体認証の識別子として機能することになっており、偽造が難しいと考えられています。一部の論文( 12 )は、そうでないと主張している、または懐疑的です。

もし私に選択の余地があれば、これが実際に安全であるかどうかを確認するために数年待ちます。

2
MiaoHatola