web-dev-qa-db-ja.com

テーマパークに私の指紋を提供するリスクは何ですか?

私は最近 Epcot Center にアクセスしましたが、チケットを手元に置いていても、公園に入る前に指紋の1つをスキャンするように求められたことに驚きました。特定の指が必要だとは思いません。これは チケットタグと呼ばれる2要素認証方式 のようです。これは、TSAがあなたのボディスキャンについて言っていることに非常によく似ています。「スキャンは保存されませんが、 ' ( ほとんどの場合 )。

私は心配する必要がありますか?ここで最も可能性が高く、最悪の場合のリスクは何ですか?

privacybiometricsfingerprint
15
Pedro

良い答えはありませんが、他の人が良い答えを見つけるのに役立つかもしれないと考えるいくつかの考えがあります。

あなたはすでにどこにでもあなたの指紋を残します。しかし、誰かがあなたの指紋を取得したい場合、彼らは現在、物理的にあなたに近づき、何かから良い指紋を取り除くことができる場所を見つけるために時間とエネルギーを費やす必要があります。これは、ランダムな人のためにそれを行うことはより費用がかかることを意味します、そしてそれはそれが大規模に実際に行うことができないことを意味します。

最近の電話やその他のデバイスにも、指紋を読み取るのに役立つ機能があります。これにより、誰かがどこかでそれらのデータベースにアクセスできる可能性が高まり、テーマパークに指紋が残るという相対的リスクが減少します。

指紋を識別子として使用するのが普通の社会に向かっているようです。 「それはユーザー名であり、パスワードではない」と人々は言い、そしてある意味で彼らは正しい。ただし、ユーザー名のように指紋を持ち上げて再利用することは簡単ではない(ツールなしで実行可能)ため、ユーザー名よりもわずかに多くなります。これが、電話などのかなり信頼できる識別方法として、および認証の第2要素として非常に人気がある理由です。

この傾向はまた、指紋ストレージが一般的になるにつれて、信頼性が低下することも意味しています。国民の認識は「誰もがすでに私の指紋のコピーを持っている、認証方法として使用しても安全だと誰が言っているのか」に向かう傾向があるはずです。これは、誰もがコピーに依存しているわけではないので、コピーの問題が少ないという事実を引き起こします。

いくつかの既存の回答では、指紋はおそらく非常に正確な画像や指紋の表現としてではなくコードとして保存されており、デバイスごとに異なる方法でエンコードされるとされています(「abc」と「123」)。これは部分的に当てはまると思います。通常、認証には派生コードが使用されるため、元の指紋を復元するのがより困難になります。しかし、私はそれが決定論的で少なくとも部分的に可逆的なプロセスであると期待します。指紋リーダーの種類を知っている場合は、派生コードを指紋に似たものに戻すことができます。さらに、指紋リーダー業界では、指紋を読み取ってエンコードする最も効果的な方法に集中し、すべての指紋リーダーのメソッドを個別にリバースエンジニアリングする必要がなくなると思います。

要約:

  1. テーマパークのようなデータベースは、個人をより低コストでハッキングしようとする場合や、大規模にハッキングしようとする場合に役立ちます。

  2. あなたの指紋はますます多くの場所でデジタルで読み取られます。これらのシステムとデータベースが頻繁になると、信頼性は低下します。

  3. 元の指紋はおそらく保存されません(簡単に複製できます)が、エンコードされたバージョンはリバースエンジニアリングして、元の指紋に似たものに戻すことができます。完了すると、これはそのデバイスで作成されたすべての指紋、または少なくともテーマパークのすべての人に使用できます。

4
Luc

まあ、もしあなたが彼らの政策が言っていることを信じるなら、あなたはそんなに心配するべきではありません。実際、彼らがあなたの指紋を保存していて、そのデータベースが漏洩したとしても、誰もがあなたの指紋を実際にコピーできるわけではありません。

生体認証デバイスは体の一部(たとえば指)をスキャンしますが、そのデバイスで使用されるソフトウェアはその画像を一種の文字列、または少なくともソフトウェアで解釈可能なものに変換する必要があるためです。たぶん、デバイスAは指紋を「abc」として保存し、デバイスBは「123」として保存します。

しかし、それがリスクになり得ないという意味ではありません。指紋は引き続きYOUを一意に識別するために使用され、将来的にはより多く使用されるようになります。空港を旅行するときは指紋を、携帯電話のロックを解除するときは...

また、実際の指紋画像は保存しないとのことです。したがって、おそらくテーマパークに初めて入るときに、それらはその文字列を構成します。もう一度入力すると、デバイスは画像から同じ文字列を再度作成し、それがすでにデータベースにあるかどうかを確認します。もしそうなら、彼らはあなたのユニークなテーマパークIDを持っています。ハッシュ化されたパスワードで行われるプロセスと同様です。

最悪のシナリオは、彼らがあなたの指紋を保存し、隠されたカメラで密かにあなたの顔の写真を作成し、NSA 。しかし、おそらく彼らはすでに、テーマパークがあなたについて提供できる情報などを持っているので、そのテーマパークについてあまり気にしないでください。

彼らができることは、あなたが指紋登録を使って、たとえばあなたが公園をどれだけ訪問したか、何か関連したものであり、それをマーケティング戦略として何とかして使用することです。

そして、誰かが本当にあなたの指紋を持ちたければ、あなたがあなたのStarBucksカップを捨てるか、ドアノブに触れない限り、彼らはあなたについてきます。そこから指紋を取得します。

3
O'Niel

まあ、指紋だけを使用して安全性の高いデバイスのロックを解除する場合、この例では深刻な問題が発生するはずです。次の場合にのみ無害です。

  • クライアントの指紋の完全な画像を自主的に保存することはありません
  • 彼らはそれらを盗む攻撃者の標的にされていません
  • 保存したものを使用してイメージを構築することはできません

しかし、手袋を着用せずにパブでビールを飲むたびに、指紋のコピーがグラスに残ることも知っておく必要があります。わかりました。使いにくいですが、政府のデータベースから指紋を盗むのと同じくらい難しくはありません。

IMHO、つまり、非常に安全なシステムのロックを解除するために、指紋aloneに依存するべきではないことを意味します。指紋は一人の人間を安全に識別しますが、ここでは問題ありません。しかし、自分の指紋が危険にさらされている場合、それを取り消すことは困難であり、それはすでに政府(多分あなたはそれを信頼できる)とそのエージェントの多く(彼らはすべて信頼できるのか?)にすでに知られているはずです。それらのデータベース。

生体認証は、多方向の身分証明をアクティブに保護する方法である可能性があります。知っているもの(パスワード)およびあなたが何か(指紋)です。 somethingと組み合わせると完全に保護され、実際に指紋を提供することを制御できます(たとえば、セキュリティ担当者)。しかし、電子デバイスのロックを解除するためにそれに頼ることは非常に便利ですが、安全ではありません。

0
Serge Ballesta