Entry: main  << >>
生体認証があればパスワード管理不要という誤解
0

    JUGEMテーマ:セキュリティ



    もっともポピュラーな生体認証の端末はiPhoneやAndoroidスマホだろう。
    指紋認証や顔認証が多くの人々に利用されている。
    しかし欠点もある。iPhoneの指紋認証はセロハンテープやグミに指紋を移せば突破できてしまう欠点があった。また、当然ながら当人が寝ている間や泥酔している間に指先を借りるだけで認証できてしまう。Appleもそのような欠点を改善するために顔認証への移行を模索しているのだろう。顔認証もいろいろと欠点はあり、寝起きの顔だと認識できないなど、使いにくいという意見も多い。
    生体認証はそれでもiPhoneでは主流の認証方法だろう。パスコードを入力する場面というのは少なくなるので、生体認証があればパスコードが不要と誤解する人も少なからずいる。
    確かに生体認証だけが認証として実装されている設計ならば、その通りだろう。しかし、実際には生体認証がうまくいかないことを考慮して代替手段としてのパスコード(パスワード)を設定する仕様となっている。
    普段は使用しないパスコードなので、かなり忘れやすい。賢い人は忘れやすいのを理解しているので、パスコードの使い回しをする。それでは危険度は増すばかりで何のための生体認証なのだろうかということになる。生体認証が当たり前の時代にあっても、パスコードの数は減らないし、パスワードを管理する必要性は全く減ってはいないのだ。
    なぜ、生体認証があるにも関わらずパスコードを設定する必要があるのだろうか。スマホに限らず、例えば玄関ドアの指紋認証ロックであっても代替手段としてパスワードで認証をするものも多い。
    生体認証は常に100%の精度では無いので誤認識もありえる。技術的な未熟さは改善してきているものの、手袋をしていては指紋認証は出来ないし、マスクをしていると顔認証は機能しないといった問題もある。そのような使えない場面を想定すると、必然的に代替手段としてパスコードやジェスチャーでの認証が必要となってしまう。iPhoneの指紋認証や顔認証も単にパスコードを入れる手間を省く簡単操作としての役割と考えてもさほど間違いではない。
    そういう意味では現状の生体認証の立ち位置はパスワード認証と純粋に比較する位置には無く、パスワード入力を便利にするツールとしての立ち位置に近いと言えるだろう。
    セキュリティ上の観点から考えると、少しばかり大雑把な言い方になるが、皮肉なことに生体認証を導入したほうがパスコード認証単体よりも危険度は高くなる。前述のように生体認証はもれなくパスコード認証もセットで付いてくるわけだから、生体認証を不正に突破される可能性のぶん危険度が増しているのだ。(厳密にはパスコードを入力する場面が少なくなるのでスキミングの危険度は下がるから、トレードオフの関係にある。)
    結局、生体認証を使うかどうかに関わらず、依然としてパスワード管理は誰かがどこかでやらないといけない。
    自分で管理したい人は、パスワードマネージャー専用デバイスを使ってみることもぜひ検討してみてほしい。
    https://cooyou.org/pwrom240







    | cooyou | 09:24 | comments(0) | trackbacks(0) | - | - |
    Comment








    Trackback