生体認証がパスワードにまつわる全ての課題を解決してくれる……ホントに?:ここがヘンだよ、セキュリティの常識(2/2 ページ)
生体認証の情報はパスワードよりはるかに模倣されにくくて認証は強固になるし、いちいち覚える必要もないので便利! って思ってます? 認証技術の進化とともにサイバー攻撃も巧妙化する中、その安全性はどれほどなのでしょうか?
実際のところ、生体認証の情報はパスワードよりはるかに模倣されにくいし、いちいち覚える必要もないので、「認証は強固になるし、ユーザーにとっても便利になるしで、一挙両得! 千客万来! これにて一件らくちゃ〜く!!」といきたいところなんだけど、やっぱりそうは問屋が卸さない。
それこそ、生体認証が登場した当初から、一方でこれを「何とか破ってやろう」という勢力の血のにじむような努力(?)によって、もうかなり長いこといたちごっこが繰り広げられてます。
実用化されたばかりの生体認証の中には、顔や指紋の写真だけであっさり突破できるものもあったみたいで、それを阻止しようと3D情報を取り入れたところ、今度は指や顔の立体的な偽造物を作って突破する輩が現れて、じゃあっていうんで偽造物と本物の生体を見分けるための「生体検知技術」が採用されるようになって……。
そもそも生体認証って、顔やら指紋やら「替えが効かないもの」を使うのが特徴なんだけど、これって裏を返せば、万が一認証情報を盗まれてもパスワードのようには簡単に変更できないってことでもあって、これはこれで不便なわけですよ。
さらに言ってしまうと、生体情報は基本的に「本人に固有なもの」なので、裏を返すと匿名性は担保されない。つまり、世の中のあらゆるサイトやWebサービスにあまねく生体認証が採用されると、うかつに掲示板にあんなことやこんなことを書き込んだり、夜中に家族にないしょでこっそり○○なサイトをのぞくようなこともはばかれるようになるかも……。
まあそれはともかく、要は生体認証といえども万能ではないし、デメリットもあるので、これだけに認証を頼り切ってしまうのはいろいろな意味で危ないのかも。そんなわけで、通常のパスワード認証やその他の認証手段と組み合わせた「多要素認証」の一部として使うのが、現時点では無難なところなんじゃないでしょうか。
関連記事
- 連載:「ここがヘンだよ、セキュリティの常識」記事一覧
- 寝ているスキを狙われ、指紋認証を突破されたスマホの話
寝ているときすら気を抜けない時代に身を守る方法とは。 - パスワードに依存しない認証「WebAuthn」をChrome、Firefox、Edgeが実装開始 W3Cが標準化
Google、Mozilla、Microsoftが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 - 顔認証・電子スタンプでキャッシュレス決済できる地域通貨「UC台場コイン」――お台場で実証実験がスタート
ユーシーカード(UCカード)、SBIホールディングス(SBIH)、Orbの3社が、東京・お台場で、顔認証かスタンプ認証でキャッシュレス決済ができる地域通貨「UC台場コイン(仮称)」の実証実験を開始。決済基盤には、ブロックチェーン(分散型台帳技術)が活用されている。 - ゲートに後付けで顔パス機能を取り付けられる「NeoFace Access Control」登場
NECが、セキュリティゲートなどに後付けで顔認証機能を取り付けられる「NeoFace Access Control」を発表、2月14日から出荷する。
Copyright © ITmedia, Inc. All Rights Reserved.