【社会】生体認証に逆行分析の脆弱性

このエントリーをはてなブックマークに追加
1 ◆SCHearTCPU @胸のときめきφ ★
高度なセキュリティが求められるコンピュータシステムでは、指紋や眼球の虹彩を使った
生体認証の採用が進んでいる。パスワード認証に比べて安全性が高いのがその理由だが、
落とし穴がないわけではない。逆行分析という手法を使えば、パスワードと同様に
盗み出すことが可能なのだ。

生体認証の場合、ユーザーの指紋や虹彩のデータを前もってコンピュータに
入力しておかなければならないが、スキャンデータをそのまま保存するわけではない。
保存されるのは特徴だけを抜き出したテンプレートと呼ばれるデータで、ログインの際に
本物の画像と照合される。
昨年、イタリアのボローニャ大学の研究チームはこのテンプレートから「指紋」を
再構成することに成功した。再構成した指紋をゼラチン製の指につけて読み取り機に
押しつけたところ、コンピュータは見事にだまされてしまったという。

虹彩の模様は指紋よりはるかに複雑なため、システムをだますのは難しいとされてきた。
それでもテンプレートから偽の眼球を作ることは可能だという研究が、25日にラスベガスで
開かれたコンピュータセキュリティ関連のイベント「ブラックハット」で発表された。
虹彩認証では、丸い目の画像を四角く引き延ばす処理をして、「虹彩コード」と呼ばれる
テンプレートを作る。これは白と黒の点が並ぶ細長い長方形で、実際の虹彩とは似ても似つかない。

ところがスペインのマドリード自治大学の研究チームがこの虹彩コードを元の丸い形にする
処理をしたところ、87%の確率でログインに成功したという。
研究チームのハビエル・ガルバリ氏は、これは重大なぜい弱性で対処が求められると指摘している。

*+*+ CNET Japan +*+*
http://www.cnn.co.jp/tech/35019728.html
2名無しさん@13周年:2012/07/28(土) 09:45:33.05 ID:IQmSon+D0
2
3名無しさん@13周年:2012/07/28(土) 09:45:37.16 ID:UH4o97AE0
肛門の皺認証にしようぜ!
4名無しさん@13周年:2012/07/28(土) 09:45:51.71 ID:IQmSon+D0
もんもん
5名無しさん@13周年:2012/07/28(土) 09:46:10.54 ID:vsBIAIw80
16桁位のパスワードにした方がまだ安全だろ
6名無しさん@13周年:2012/07/28(土) 09:47:44.36 ID:6Fe1Gu/R0
テンプレートが流出する前提の議論なら
全てのセキュリティが虚弱となりますがwwwwwwwwwwwwww
7名無しさん@13周年:2012/07/28(土) 09:48:31.82 ID:3THMBeaK0
機械にデータが残るような状態だと
何やっても穴はできるよなー
まぁその穴が大きいか小さいかってことなんだろうが。
どこにもデータ残さないような認証システムなんて不可能だし。
8名無しさん@13周年:2012/07/28(土) 09:50:32.72 ID:NbrXCkr9O
そのうち、髪の毛使ってDNA認証、
ハゲは使えないとかになるんじやないかな
9名無しさん@13周年:2012/07/28(土) 09:50:35.25 ID:IQmSon+D0
こうどなせきゅりてぃ
10名無しさん@13周年:2012/07/28(土) 09:50:58.52 ID:dRfronWb0
で、そのテンプレートはどうやって盗むんだよ?
11名無しさん@13周年:2012/07/28(土) 09:53:34.05 ID:NbrXCkr9O
うちの
糞女SE、入り口の指紋認証、俺のあとは絶対指入れない
12名無しさん@13周年:2012/07/28(土) 09:53:34.37 ID:IQmSon+D0
未確認
13名無しさん@13周年:2012/07/28(土) 09:54:16.80 ID:rSsdgK/D0
>>6
今のパスワードは一方向の暗号化をして保存されてるから
データをハッキングされても元のパスワードは再現できないよ。
2chのトリップと同じで、基本的には総当たりしかない。
身体認証の安全性はそれに劣るってこと。
14名無しさん@13周年:2012/07/28(土) 09:56:44.56 ID:5cb9C6p+0
パスワードは漏れたら即アウト
生体認証がデータから復元できるなら変更し辛い分厄介だな
15名無しさん@13周年:2012/07/28(土) 09:57:16.71 ID:IQmSon+D0
パスはしっかり
16名無しさん@13周年:2012/07/28(土) 09:58:10.87 ID:S2+vWWVn0
テンプレートをPKIで暗号化しておけば良いんでないの?
17名無しさん@13周年:2012/07/28(土) 09:58:38.56 ID:d3HyGiUR0
>>11
そりゃ感染を未然に防いでるんだからむしろあるべき姿
18名無しさん@13周年:2012/07/28(土) 09:58:58.83 ID:eyzd4k3d0

認証データもハッシュしろよ。
19名無しさん@13周年:2012/07/28(土) 10:00:38.50 ID:IQmSon+D0
アノニマス
20名無しさん@13周年:2012/07/28(土) 10:00:45.68 ID:tGZOOMw30
読み取った画像を数値化してそれをパスワードにすればよくない?
21名無しさん@13周年:2012/07/28(土) 10:01:19.56 ID:rSsdgK/D0
>>18
そういうことだな。
それで解決だw
22名無しさん@13周年:2012/07/28(土) 10:02:21.78 ID:9wzZhzLL0
まず勘違いしてるんだが、生体認証は、安全性よりも利便性の方が理由だから。
23名無しさん@13周年:2012/07/28(土) 10:03:58.95 ID:IP+Ktmll0
一方、ソ連は、切断した指や抜き取った目玉を使用した。
24名無しさん@13周年:2012/07/28(土) 10:04:11.30 ID:oJOTraYz0
>>18
で出てたw
25名無しさん@13周年:2012/07/28(土) 10:11:07.19 ID:e929Dqiw0
利便性、安全性、認知度 結局はサインとか印鑑だろうな。
26名無しさん@13周年:2012/07/28(土) 10:19:10.82 ID:58UkPMQr0
しっかりせいや
27名無しさん@13周年:2012/07/28(土) 10:22:50.75 ID:4g74Nu+R0
ちんこって人によって形状とか固さが違うってエロマンガで聞いたけど
ちんこを鍵にすれば分析は不可能かと
28名無しさん@13周年:2012/07/28(土) 10:23:56.92 ID:58UkPMQr0
完璧な鍵は無い
29名無しさん@13周年:2012/07/28(土) 10:26:33.78 ID:YY0oDjcU0
>>11
おまえがチンコを握った手で指紋認証してるからだろ
(´・ω・`)
30名無しさん@13周年:2012/07/28(土) 10:27:21.30 ID:wdjXoaWr0
テンプレートTを実際の画像と照合する作業W自体に、T毎の特異性を持たせるなら結局、生体非由来のPWみたいな話になる。
全てのWが共通な手順なら、Tを入手できる環境ではそりゃ(技術的じゃなく)原理的に、複製可能だろ。
脆弱性ではないな。
31名無しさん@13周年:2012/07/28(土) 10:32:12.99 ID:QKulA/2E0
例えばスカイツリーの双眼鏡に眼球の虹彩データを取得する装置をつける、
街角に目の検査装置を置く
目のデータは工夫すれば盗めなくはないよな
本来の生体認証システムであっても内部に悪意を持った者がいれば盗まれるんだから意味ない
32名無しさん@13周年:2012/07/28(土) 10:33:38.84 ID:HAEap/m+0
結局は暗号化して、別の場所にあるデコードプログラムとの通信が必要なのかな?
33名無しさん@13周年:2012/07/28(土) 10:33:40.50 ID:3THMBeaK0
そいつの生い立ちクイズ認証でも作れお・・・
34名無しさん@13周年:2012/07/28(土) 10:37:48.28 ID:58UkPMQr0
体全部認証
35名無しさん@13周年:2012/07/28(土) 10:38:57.95 ID:ecrI9fJN0
>それでもテンプレートから偽の眼球を作ることは可能だという研究が

のちの、バイオ4の村長の義眼か
36名無しさん@13周年:2012/07/28(土) 10:39:04.88 ID:Bv/f2KcXO
盗られて困る情報などないから、うちの会社は導入する気ないんだとさ。
仮に顧客データが盗られても、盗ったヤツに文句言え、というのが方針。
37名無しさん@13周年:2012/07/28(土) 10:39:45.97 ID:yKup8LXr0
テンプレートの保存方法の問題ってだけでしょ。
38名無しさん@13周年:2012/07/28(土) 10:40:30.99 ID:UrqKa9Mj0
しかしそこまで出来るのってそれこそ研究室とか研究施設持ってるような組織だけだろ。
39名無しさん@13周年:2012/07/28(土) 10:46:37.23 ID:o1+JwGOK0
まさに空想科学小説の世界。
マイノリティリポートで目玉を取り替えなくても騙せてしまうこの凄さ。
ゴースト認証も夢ではないぞこれは
40名無しさん@13周年:2012/07/28(土) 10:55:33.75 ID:57B/KDZ70
犯人はたいてい、内部の人間か元社員
41名無しさん@13周年:2012/07/28(土) 11:02:02.49 ID:UkPAonIH0
き・・
42名無しさん@13周年:2012/07/28(土) 11:03:43.15 ID:Z/uWB2yD0
>>40
追加
システム管理会社
システム納入業者
43名無しさん@13周年:2012/07/28(土) 11:04:40.79 ID:DmwAdehG0
つまり人の直接確認と指紋認証とパスワード認証と組み合わせれば何とかなるんじゃね
44名無しさん@13周年:2012/07/28(土) 11:07:20.99 ID:Ml08RzIb0
き・・・脆弱・・・
45名無しさん@13周年:2012/07/28(土) 11:07:41.82 ID:DjnDmtHm0
銀行のキャッシュカード作るとき生体認証カードもあったけど
生体認証は一度生データが流出したらもう一生使えない
暗証番号なら変更できるが生体データは変更不可能だから
ってきいて普通のICカードにしたお(´・ω・`)
46 ◆nfInrtSBHw :2012/07/28(土) 11:08:58.86 ID:FqvI3xZNO
テンプレートをハッシュ化すればいいのでは?
47名無しさん@13周年:2012/07/28(土) 11:11:08.84 ID:UkPAonIH0
ウイルスバスター
48名無しさん@13周年:2012/07/28(土) 11:11:23.21 ID:a2MoPuU70
この手の研究は、暗号やパスワード解読にはソーシャルエンジニアリングが一番効果的でかつ一般的ということをごまかすためのもの。


よほどの国家機密や企業秘密でない限り、スパコン使って解読するメリットない。

また、よほどのものは、ダミーがあって2重、3重に暗号やロック掛けてあるから、
ブルートフォース方法ならスパコン使っても10年後解読できましたとの結果になる。
49〈(`・ω・`)〉 ◆EQUAL/Pi.Q :2012/07/28(土) 11:12:57.59 ID:jcf9wwGY0
つまりあれか??

肛門 「誰だ!」
うんこ 「屁です」
肛門 「よし、通れ!」
50名無しさん@13周年:2012/07/28(土) 11:14:45.10 ID:NjckXk6B0
また余計なもんを創りおったな
51名無しさん@13周年:2012/07/28(土) 11:17:35.77 ID:eMBWOFTF0
虹彩は光の加減で常に動いているから人工のものと見分けは簡単だよ
52名無しさん@13周年:2012/07/28(土) 11:19:48.69 ID:DISuhy7V0
内部ハッキングされても平気なものなんて現在の知識じゃ不可能だろ
量子論的なやつなら可能だが、こっちは運用が実用にならない
53名無しさん@13周年:2012/07/28(土) 11:20:20.40 ID:aF9eiorj0
うちの職場の同僚が昼飯の時間にAndroidのスマートフォンを机の上に
置きっぱなしで飯を食いに行く。

顔認証でロックをかけてるんで、ほかの同僚が飲み会の時の本人の顔写真を
カメラに向けたら、一発でロックが外れたので、GMAILのメールをみんなで
見て爆笑。

本人だけは見られたのを未だに気付いてないwww
54名無しさん@13周年:2012/07/28(土) 11:20:23.64 ID:AtD362T50
>>10
こんなのやる人たちからしたらハッキングの方が簡単なんじゃないの
55名無しさん@13周年:2012/07/28(土) 11:24:14.00 ID:N8gfQ4w30
一方、朝鮮人は大根を使った
56名無しさん@13周年:2012/07/28(土) 11:25:27.31 ID:wEyOiUSYO
>>49
うんこ(下痢)「屁です!」
が一番凶悪
57名無しさん@13周年:2012/07/28(土) 11:31:22.77 ID:Buq22PiU0
>>13
>>6
>今のパスワードは一方向の暗号化をして保存されてるから
>データをハッキングされても元のパスワードは再現できないよ。
>2chのトリップと同じで、基本的には総当たりしかない。
>身体認証の安全性はそれに劣るってこと。

んじゃ、身体認証を一方向の暗号化すればいいんじゃね?
58名無しさん@13周年:2012/07/28(土) 11:38:26.59 ID:4KJrRhNw0
生体情報をパスワードとして使うって考え方がそもそもの間違い。
生体情報はパスワードではなくユーザIDとして使うべき。
59名無しさん@13周年:2012/07/28(土) 11:44:18.13 ID:UFszDHZo0
>58
同感
60名無しさん@13周年:2012/07/28(土) 11:45:19.88 ID:4KJrRhNw0
>>57
認証の時に生体情報からテンプレートを生成してテンプレート同士を比較するという
アルゴリズムなら、テンプレートをハッシュしたものを保存しておくって手も使えるが、
たぶん、そうじゃないんだろう。

指紋や虹彩の場合は知らないが、顔画像認識なんかだとカメラで撮影した画像は
システムに記録されている基準画像とは撮影時の状況がことなるから、
そのまま比較しても一致しない。

そこで基準画像を拡大縮小したり、上下に移動させたり、いろいろ加工をして
認証自の画像と比較する。

同様に、テンプレートを前処理した後、認証をしているのだとすれば、
一方向性ハッシュは名前の通り元に戻せない演算なので、使えないってことになる。
61名無しさん@13周年:2012/07/28(土) 11:48:21.89 ID:c0C0s7z/0
セキュリティガチガチにしてたらIT開発で末端作業員のなり手がいなくなる
62名無しさん@13周年:2012/07/28(土) 11:56:10.59 ID:AxcgWyWE0
なんかすごい元手がかかりそう
63名無しさん@13周年:2012/07/28(土) 11:58:20.72 ID:ou1yXptQ0
>昨年、イタリアのボローニャ大学の研究チームはこのテンプレートから「指紋」を
>再構成することに成功した。再構成した指紋をゼラチン製の指につけて読み取り機に
>押しつけたところ、コンピュータは見事にだまされてしまったという。

ルパン三世だな
64名無しさん@13周年:2012/07/28(土) 12:21:51.59 ID:jzCZuWou0
プーン
65名無しさん@13周年:2012/07/28(土) 12:28:33.37 ID:SP/Rgclp0
テンプレートをハッシュしたら
認証時のマッチができなくなるんじゃないか?
66名無しさん@13周年:2012/07/28(土) 12:41:15.84 ID:nsZYRw2Q0
まんこの白濁本気汁認証にしようぜ!!!
67名無しさん@13周年:2012/07/28(土) 12:43:39.40 ID:vWQeT/Au0
>>3
掘られて切れたらお家帰れないじゃないか
68名無しさん@13周年:2012/07/28(土) 12:44:28.66 ID:1Yq6teF+0
>>1
映画やドラマでよく見る手口じゃないすか
通用しちゃうんだ
69名無しさん@13周年:2012/07/28(土) 12:54:04.32 ID:t4rfmWKu0
当人しか知らないポージング認証を推す
70名無しさん@13周年:2012/07/28(土) 12:56:05.14 ID:HOZXrxv40
セキュリティチェックには人がいちばんです  日本警備業協会
71名無しさん@13周年:2012/07/28(土) 12:58:14.26 ID:drqMcaZM0
>>70
なぜか知らんが、エガちゃんを想像してしまった
72名無しさん@13周年:2012/07/28(土) 12:58:35.17 ID:kAk4bDv2P
テンプレートは、サーバー上にあるんでしょ?
サーバーからは合否判定だけが返ってくるんでしょ?

サーバーからデータを盗まれると、生体認識かどうかは関係ないよね。
73名無しさん@13周年:2012/07/28(土) 13:18:47.72 ID:iExrbs8DP
これを暗号化して保存すりゃ良いじゃん
それと生体である事の認識もするとか
74名無しさん@13周年:2012/07/28(土) 13:23:38.06 ID:0Ynr8bIn0
>>8
それこそ簡単に他人の髪の毛が手に入るじゃないか
75名無しさん@13周年:2012/07/28(土) 13:48:38.03 ID:rSsdgK/D0
>>57
「それをやってなかったのは問題だった、身体認証だからと過信せず
パスワードと同じように考えなければならない」
という警鐘ってわけだね。
76名無しさん@13周年:2012/07/28(土) 15:21:34.04 ID:ag/A/eHS0
特定の人物の鍵が欲しいだけなら
指紋を入手する方法なんかいくらでもありそうだけど
77名無しさん@13周年:2012/07/29(日) 09:16:24.95 ID:3vZ+rzei0
>>58
MUFGのキャッシュカードはそれに近いな。
手のひら静脈認証のあと暗証番号も必要だし。
78名無しさん@13周年:2012/07/29(日) 23:39:06.70 ID:2OYx8Gv30
a
79名無しさん@13周年:2012/07/29(日) 23:44:41.73 ID:uMQJpDZnO
そういや、バットマンの新作でもバットマンが指紋盗まれて、破産してたな

眼はともかく、あちこちに残してる指紋は、一番ヤバいだろ
80名無しさん@13周年:2012/07/29(日) 23:46:52.93 ID:Wc8nKqpd0
>>3
校門は万個に比べて特徴が少ないと言うが、実際のところどうなんだろうか。
81名無しさん@13周年:2012/07/30(月) 00:29:22.23 ID:Lu1cuV0O0
ルパン?
82名無しさん@13周年:2012/07/30(月) 00:36:48.41 ID:DKkgLbhe0
認証システムのテンプレートを流用して本人の虹彩を作れるって事でしょ
だからわざわざハックしてテンプレートを盗み出す必要は無い

何か適当な理由つけて、他の認証システムの装置で
本人の生体データ取ってテンプレを作ればいいだけ
あとはいくらでも複製できる

生体のデータはひとつしかないんだからw
83名無しさん@13周年:2012/07/30(月) 23:38:33.15 ID:4y9carmR0
>>6
生体認証は一度情報が漏れたらパスワードみたいに変更できないってことでは。
84名無しさん@13周年:2012/08/01(水) 00:08:00.44 ID:oRYIaeBMO
>>18>>57>>75

>>60にある通り
認証時の読み取りデータは本人の体調や気温や湿度によって変化するので
バスワード認証のように普通の一方向性ハッシュ関数は使えない
それだと入力が1ビットでも違った場合、ハッシュ値がまったく別のものとなってしまうから

でも、この10年ほどの間に、生体認証で使えそうな
「ある程度の入力の揺らぎを考慮した暗号技術」がいろいろ提案されている
Fuzzy Vault とか Fuzzy Commitment とかいう技術
誤り訂正符号理論の応用
85名無しさん@13周年:2012/08/01(水) 00:14:07.80 ID:6wpJe0uF0
>>80
変化が激しいから、認証に使うのは難しいんじゃ?
知り合いのホモ、最初は指2本もキツかったのに
2、3か月ほどハッテンしまくったら
頑張れば拳も入るようになったって自慢してた
86名無しさん@13周年:2012/08/01(水) 00:50:48.01 ID:lL+xazjq0
前に経験した。渋谷でうどん食おうと思ったら、あんたは30分前にもう食ってるって拒否された。

ありえないと思った。
87名無しさん@13周年:2012/08/01(水) 00:54:18.88 ID:XzT+xrkQ0
>>1
サムスンから悔し紛れの脆弱性リークwww
88名無しさん@13周年:2012/08/01(水) 01:19:58.89 ID:XRw4Yzsp0
指紋をゼラチン物質に生成とかルパンみたいな事は、一般人には敷居が高いだろ
89名無しさん@13周年:2012/08/01(水) 01:48:19.83 ID:m8KVHiCu0
仕事場、指静脈認証だけど、無くすことないから便利だね。
さすがに静脈認証は偽造できないっしょ
90名無しさん@13周年:2012/08/01(水) 01:55:07.76 ID:5FEU8eTdP
ほ〜
91名無しさん@13周年:2012/08/01(水) 01:58:41.09 ID:jsTkfBuU0
サーモグラフィとか肌湿度とか組み合わせれば盤石だと思うけどね。
さすがに自分の手とか目を入れ替えるわけにはいかないんだし。
92名無しさん@13周年:2012/08/01(水) 02:25:27.41 ID:lbGQH3+c0
そういう問題ではないというのに。
よく読もう。
93名無しさん@13周年:2012/08/01(水) 02:28:07.65 ID:Z5z+rC6f0
血流認証はどうやるの?
94"(,, ゚×゚)"剃毛侍 ◆XS/KJrDy4Q :2012/08/01(水) 02:32:09.20 ID:7UVFifkP0
普通、テンプレートを暗号化しとくもんだろ。
95名無しさん@13周年:2012/08/01(水) 03:15:03.64 ID:oRYIaeBMO
>>88
指紋画像からゼラチン指を作るのは少し難しいけど
指を押し付けて作った型からゼラチン指を作るのは簡単にできるよ

>>94
それは外部の犯罪者がサーバ内のテンプレートを盗み出すという脅威への対策にはなるけど
サーバ管理者がユーザのテンプレートを不正に持ち出す・利用するという脅威への対策にはならない
同じパスワードをよそで使い回していた場合は、どこかのサービスからパスワードが流出しても
そのパスワードを変更すればいいけど(というか最初からパスワードの使い回しをしないのが一番だが)
生体情報のテンプレートデータがどこかのサービスから流出した場合は
自分のそれを変更するのはなかなか難しい
テンプレートの流用・テンプレートからの偽造生体の作成を防ぐ技術が必要
あと、認証時の偽造生体の受け入れも防ぎたいね

パスワード認証のパスワードハッシュのように

・サーバに保存されたハッシュ値からは「そのハッシュ値が計算されるような文字列」はわからない
・サーバごとにハッシュ値の計算方法が異なるため
 あるサーバでのパスワード&ハッシュ値の表データが手に入っても
 それは別のサーバへのなりすましログインには何の役にも立たない

こういうセキュリティ要件がテンプレートにもほしいところ
96名無しさん@13周年:2012/08/01(水) 03:18:52.32 ID:Vji0dzDi0
>>84
ファジー機能の復権か
97名無しさん@13周年:2012/08/01(水) 03:20:55.06 ID:Nel/hOui0
これからは静脈認証だな。
98名無しさん@13周年:2012/08/01(水) 03:26:18.36 ID:B+1KVioc0
テンプレートを不可逆性のデータにしてしまうと照合の認識率が
極端に悪くなるだろうしな。ハッシュ化などはできないな。
99名無しさん@13周年:2012/08/01(水) 03:26:32.27 ID:WSH8ThOF0
生体認証の情報を盗まれたらどうするの? 自分の指紋を替えるわけにはいかないし
100名無しさん@13周年:2012/08/01(水) 03:32:24.05 ID:ejFR3RdH0

では針でも刺して細胞と血液で認証をしますか
そもそも掌紋や虹彩認証などは多数の人間がいる施設の中の許可分別に使うわけで
その施設に入る前に人やシステムによる認証があるので
いきなりそれだけを取り出して安全性を語るのはどうなんでしょうね
101名無しさん@13周年:2012/08/01(水) 03:33:55.79 ID:4Zp118UMO
○じゃくせい?
読めません。。
フリガナお願いします
(_ _)
102名無しさん@13周年:2012/08/01(水) 03:37:32.19 ID:Q78x5yn7O
>>101
もろよわせいって言っとけば2chなら通じるよ
103名無しさん@13周年:2012/08/01(水) 03:37:40.33 ID:vQQh5dUa0
>>99
だから、生体認証は問題なんだよ
一旦、盗まれてしまったら、一生涯、セキュリティの問題が付きまとう
生体情報ってのは変更できないからね
パスワードなら問題が起こったら変更すれば良いので、安全だ
104名無しさん@13周年:2012/08/01(水) 06:26:15.54 ID:DON3B9Ba0
おれ、おれ、俺だよ、俺。
105名無しさん@13周年:2012/08/01(水) 06:30:16.31 ID:Qk0mMfzH0
指紋認証なら、10本の指のどれにするかで、パスワード変更のようなことは可能だな。
その他の生体認証はどうしようもないな。
やっぱり、非接触で読み書き可能なチップ埋め込みも併用するべきかな。
106名無しさん@13周年:2012/08/01(水) 06:51:04.12 ID:DON3B9Ba0
これからの時代、パスワードも脳波から盗まれるようになるかもしれない。
ATMでパスワード入力するときに頭の中で「1234」って念じるだろ?あれで盗まれる。
てかATM自身が発する電磁波でパスワードって盗まれないのかな?
入力している時に電磁波発しているでしょ?
107名無しさん@13周年:2012/08/01(水) 06:59:49.15 ID:i5Aa2XDE0
静脈認証でいいだろ
108名無しさん@13周年:2012/08/01(水) 07:25:18.07 ID:y6J898ep0
>>95
ハッシュ値同士でテンプレートマッチングできる方法があればいいのかな
dを類似度の関数、ハッシュ関数をH、テンプレートをx、認証画像をyとして
d(x,y)=d(H(x),H(y))
となるような計算方法。

あ、でもこれだとyをちょっとずつ変えながらテストすれば逆算できちゃうか?
109名無しさん@13周年:2012/08/01(水) 11:20:09.53 ID:oLh5zB+80
指認証は俺のは通りにくいから嫌い
110名無しさん@13周年:2012/08/01(水) 20:10:49.87 ID:xXcpplK80
>>109
じゃあ指をつけかえたら?
111名無しさん@13周年:2012/08/01(水) 21:21:57.30 ID:VNKQQUbHP
普通に生体認証した後で暗証番号入れれば良い。
指紋認証だけなんてセキュリティは現場にはないぞ。
112名無しさん@13周年:2012/08/01(水) 21:26:27.24 ID:VNKQQUbHP
生体認証なんてのは銀行のキャッシュカード以下なんだから。

銀方のカードを他人に貸す奴は少ないが指紋なんてのは生きていればそこらにつけて回ってるし交通違反の一つでもすれば警察に押収される。

虹彩だってコンタクトの眼医者なら見放題。

暗証番号なしのキャッシュカードが無いようにPINコード無しの生体認証もあり得ない。
113名無しさん@13周年:2012/08/02(木) 00:15:22.94 ID:/dyFrQ4e0
>>86
美味いから来たって言えば
114名無しさん@13周年:2012/08/02(木) 01:02:15.52 ID:uwEyfwqR0
かれこれ10年前、Xファイル外伝でやってた通りだな
115名無しさん@13周年:2012/08/02(木) 01:07:27.15 ID:VXeyh35t0
重大な脆弱性って
そりゃ、マッチングデータ盗まれりゃ当たり前だろww
116"(,, ゚×゚)"剃毛侍 ◆XS/KJrDy4Q :2012/08/02(木) 01:11:16.39 ID:TnieJddo0
>>95
つかね、セキュリティ対策の最大の関門は
内部犯対策とユーザのやる気喚起だから。

>>112
生体認証に限らず、利便性を謳った認証システムってヤツは、
最終手段のPINコードがあること前提のモンだからな。
コンピュータからキーボードが消えることが無いのと同じ。
117名無しさん@13周年:2012/08/02(木) 02:50:59.43 ID:R0WbPvx4O
>>116
その最大の関門である内部犯による脅威一般への対策としても
今回の攻撃手法に限った内部犯の脅威への対策としても
暗号化は有効にははたらかないよ

ゆびとまみたいに、サービス事業者が経営難からある日いきなりヤクザのフロント企業に乗っ取られて
そこに登録していた虹彩や掌紋や掌形や手のひら静脈のテンプレートがみんな反社会勢力の手に渡る
これは確かに「サーバへの不正侵入による暗号化データの盗み出し」よりは発生確率が低いけど
「それによって生体認証が二度と使えなくなる」という損失額と掛け算して期待値とったら
無視できない値になるんじゃないかと思うんだけどなあ
118名無しさん@13周年:2012/08/02(木) 03:06:31.79 ID:TumIxEOG0
>>11
口の中に指突っ込んでやれ
119名無しさん@13周年:2012/08/02(木) 03:20:40.94 ID:k9olQkWD0
海外じゃ生体になってからは強盗も相手の腕ごと切り落としてATMで下ろすよなw
120名無しさん@13周年
本当の虹彩かどうかは、瞳に当てる光の強弱で瞳孔が開いたり閉じたりするかを調べればわかる。
単に虹彩(目玉)の画像でごまかすことはできない。ここが指紋認識より一歩進んだところ。