【最新技術の落とし穴】静脈認証も安心できない? 大根で作った偽造指で認証に成功
――「静脈認証でさえ、偽造指に対するぜい弱性は否定できない」―
6月29日から7月1日まで東京で開催された「情報セキュリティEXPO」で、
セミナーの演壇に立った横浜国立大学の松本勉教授はこう警告した。
偽造/盗難キャッシュカード対策として金融業界で急速に普及しつつある静脈認証について、
客観的なぜい弱性評価の必要性を示したものだ。
静脈認証は指、手のひら、手の甲などに赤外線を当て、体内にある血管の形状パターンを元に個人を識別する。
指紋認証などと異なり、表から見える身体的特徴を使わないことから、「なりすまし」に強いと一般に思われている。
だが実は、静脈認証の歴史は浅く、ぜい弱性が十分に検証されてきたとは言えない。
松本教授は比較的簡単に入手できる素材を選んで、人の指に似た光の透過率を持つ2種類の模型を作成した。
その一つは、野菜の大根を棒状に切りラップで包んだもの。
もう一つは、スキー場の人工雪に使われる高分子ポリマーをエポキシ樹脂と硬化剤で固めたものである。
これらを市販の指静脈認証装置に登録した上で、再度差し込んで照合すると、いずれも100%受け入れられた。
ただし、作ってから1週間経過した大根では、受け入れ率が98%に低下する。
今回の報告は研究の途中経過を示したもので、これをもって、直ちに「銀行が使う静脈認証の危険性が高い」
とは断言できない。本物の人間の指を静脈認証装置に登録した上で、
それに似せた偽造指を照合に掛ける実験の結果を、まだ示していないからだ。
偽造指を使って、既に静脈パターンを登録済みの人になりすますのは、より困難と見られる。
一方で、松本教授は「指紋認証に比べて相対的に安全と思われている静脈認証にも、
一定のぜい弱性があることは事実。頭から安全だと信じ込むのは危険で、
今後、検証を重ねて精度評価基準を作る必要がある」と語る。
松本教授は、2000年7月、ゼラチンで作った偽造指を使って、
市販の指紋認証装置を容易にだませることを発表し、世界のセキュリティ専門家を驚かせた。
その後、虹彩認証装置についても、瞳の画像を名刺大の紙に印刷する方法で、
容易に「なりすまし」できることを証明している。一連の実験結果は金融庁のWebサイトにPDF形式で掲載されている。
引用元:ITPro 日経コンピュータ
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050701/163801/ 実験結果(PDF文書)
http://www.fsa.go.jp/singi/singi_fccsg/gaiyou/f-20050415-singi_fccsg/02.pdf
2 :
名無しのひみつ:2005/07/05(火) 01:42:55 ID:Zq2YLDni
うはw
3 :
名無しのひみつ:2005/07/05(火) 01:46:15 ID:sPE7pFZx
二、三日前に見たぞ、このニュース
4 :
名無しのひみつ:2005/07/05(火) 01:46:23 ID:n38hCcxr
まっつぁん最高。
5 :
名無しのひみつ:2005/07/05(火) 01:47:24 ID:iKYvZPi8
この教授消されるのではあるまいか
6 :
名無しのひみつ:2005/07/05(火) 01:48:50 ID:oQ7NNh+f
偽物国家 中国の登場ですよ
7 :
名無しのひみつ:2005/07/05(火) 01:49:03 ID:L9N9cneE
網膜パターンしかないな
8 :
名無しのひみつ:2005/07/05(火) 01:49:04 ID:n38hCcxr
イキロまっつぁん。
9 :
名無しのひみつ:2005/07/05(火) 01:50:31 ID://9VO710
こわい
10 :
名無しのひみつ:2005/07/05(火) 01:51:12 ID:AfCW2LkY
11 :
名無しのひみつ:2005/07/05(火) 01:53:25 ID:dPxkIPEJ
イモ判で銀行印作ったようなもんか?
12 :
名無しのひみつ:2005/07/05(火) 01:54:51 ID:MWM2C9Kz
静脈認証と同時にバイタルとれば良いのでは?
13 :
名無しのひみつ:2005/07/05(火) 01:57:33 ID:N/pYt5gC
ゲーセンにある、指紋を判別して預けたコインを引き出す機械も読み取り精度悪くてエラーばっか…
15 :
名無しのひみつ:2005/07/05(火) 02:04:16 ID:LKao0yc2
大根を薄切りにするとたしかに静脈みたいな(色は白いけど)筋が見えるなあ。
しかしよくそんなところに着目したもんだw
大根好きなのかなぁ
17 :
名無しのひみつ:2005/07/05(火) 02:08:17 ID:mvqDFQdn
?? ??
?? ? ? ??
??:: ??? ? ? ??? ::??
? ? ??:: :: ??? ?:: ? ?? ??? :::??
? ? ????:: ?::: ?? ::?? ::???
? ? ?????:::: :: ??:::? ?:::?? :: :::??? しゃきーん
? ??????:::: :: ?? ?? :: ::::????
18 :
名無しのひみつ:2005/07/05(火) 02:10:53 ID:96rPVdUu
もう国家によるIDチップの埋め込み くらいしか残ってないんじゃ・・・
19 :
名無しのひみつ:2005/07/05(火) 02:13:49 ID:Hcifed5f
>>7 プリントアウトした紙で認証をすり抜けられるよ
20 :
名無しのひみつ:2005/07/05(火) 02:29:19 ID:Fv4BAFCI
もう チンコパターンしかないのか。
21 :
名無しのひみつ:2005/07/05(火) 02:31:24 ID:/0kfX8sL
認証を突破した最終兵器は「大根」ですた。('A`)
22 :
名無しのひみつ:2005/07/05(火) 02:38:19 ID:573/WYdR
>これらを市販の指静脈認証装置に登録した上で、再度差し込んで照合すると
いや、偽造しにくい、と言うのが静脈認証のポイントなんだろ?
偽物で登録して、同じものを使って認証通りましたって、意味無いでしょ?
あれ?俺が馬鹿なのか?
23 :
名無しのひみつ:2005/07/05(火) 02:47:20 ID:I2fb5KY4
網膜を見破ったのはすごいな。
でも大根とかゼラチンで登録するやつは居ないだろ
なにがしたいんだこの教授
24 :
名無しのひみつ:2005/07/05(火) 02:58:27 ID:dQavDhRW
登録されている指やら手のひらを切断して認証をすり抜けるということが
可能なことを示唆しているんじゃないの?
それか、偽者の認証装置を通してスキャン。んで得られたパターンを
ポリマーをエポキシ樹脂で固めたものを使用しても認証を通る可能性とか。
25 :
名無しのひみつ:2005/07/05(火) 03:32:34 ID:zia8PSu5
>>22 先に書かれた・・・おまいは正しいと思うが
実験するなら誰かの指登録してそれの偽造指を作らんと全く意味が無い
100歩譲って松本とやらの方法(偽者データ登録無し)でなんらかの
誤作動を起こさせたというのなら フーン( ´,_ゝ`)くらいにはなるが
26 :
名無しのひみつ:2005/07/05(火) 03:45:21 ID:zia8PSu5
そもそもカードの様に容易に偽造出来なければ意味が無い
虹彩認証も「どうやって対象の虹彩のコピーを取るのか」や
大根指も「どうやって対象の静脈パターンを取るのか」が問題になる
そんな現実的でない苦労するなら、ATMや認証機のデータをソレ用機器を使って盗んだ方が簡単だし
27 :
名無しのひみつ:2005/07/05(火) 04:32:06 ID:TRTZz5il
銀行に預けた時点で もう金は捨てたと思えということでつね
28 :
J.GarCIA:2005/07/05(火) 04:53:45 ID:UCwGFYAN
・・・・・
29 :
名無しのひみつ:2005/07/05(火) 05:26:32 ID:cBdlx2Zd
さあ大根足の出番ですよ
マクガイバーの称号を与えよう
31 :
名無しのひみつ:2005/07/05(火) 06:48:52 ID:EhRGEafg
シュワちゃんの映画に似たようなのあったよね
本人の一部をつれてくればいいってやつ
32 :
名無しのひみつ:2005/07/05(火) 06:57:27 ID:sc7n/FvT
偽造指って
別の意味で売れそうな
33 :
名無しのひみつ:2005/07/05(火) 07:31:46 ID:573/WYdR
↑
変態
34 :
名無しのひみつ:2005/07/05(火) 07:37:17 ID:7cKju9WW
>>7 網膜の画像を名刺大の紙に印刷する方法で可能と思われる。
35 :
名無しのひみつ:2005/07/05(火) 08:06:39 ID:UWT9DtNI
静脈認証って血液が流れているかどうかも判断してるんじゃなかったっけ?
36 :
名無しのひみつ:2005/07/05(火) 09:58:36 ID:0p5WqS2u
大根に負けた最新技術。
37 :
名無しのひみつ:2005/07/05(火) 11:11:45 ID:ciCXLxpr
指よりもゴーヤの方が効果あるらしいしな
あのイボイボが(ry
38 :
名無しのひみつ:2005/07/05(火) 11:39:25 ID:J2yMYVaj
これは、本人殺して手首だけ切り取ってきても認証される事を意味
してるんじゃないの? ヤベェって・・・・
39 :
名無しのひみつ:2005/07/05(火) 11:41:38 ID:Mi2d5tAN
生きてない体での認証を、「バイオメトリクス(生体認証)」とは呼べないだろ!
40 :
名無しのひみつ:2005/07/05(火) 11:45:48 ID:t8kQcBqf
偽造指つきの架空口座が売り出される伊予柑。
41 :
名無しのひみつ:2005/07/05(火) 12:03:34 ID:j7CHP5Qv
まあ、おまいらには「画指」で指関節の間隔がお似合いだ。
42 :
名無しのひみつ:2005/07/05(火) 12:59:56 ID:YiiMJFgq
>>26 >虹彩認証も「どうやって対象の虹彩のコピーを取るのか」や
>大根指も「どうやって対象の静脈パターンを取るのか」が問題になる
バイオメトリクス認証が一般的になれば(ならないが)、どこでででも虹彩や静脈のパターンは
要求され、そこで採ったパターンをよそで使われる
>>35 >静脈認証って血液が流れているかどうかも判断してるんじゃなかったっけ?
携帯電話の液晶ディスプレーかなんかで動画再生したら?
ということで、バイオメトリクス認証は一般的にならない
43 :
名無しのひみつ:2005/07/05(火) 13:14:13 ID:mkuzP/mh
手の込んだ嫌がらせだな。w
44 :
名無しのひみつ:2005/07/05(火) 13:58:40 ID:inDS77dJ
文系モンキーはこんな短いニュースも読めないらしいな
45 :
名無しのひみつ:2005/07/05(火) 14:05:25 ID:2OI7MrWo
大根で登録したら大根で認証できたって事か?
いやあの〜
問題は人の静脈で登録された際に、その静脈をコピーすることができ
かつ認証できるかどうかが鍵だと思うんだが。
本人じゃなくても同じID(この場合静脈認証だが)ができるかどうかが問題だよな。
まあぶっ殺してきて腕切断して持ってこりゃあいいじゃん。
なんて発想の方がむしろありがちだとは思うのだが。
46 :
名無しのひみつ:2005/07/05(火) 14:59:51 ID:/vFuOucv
人間の静脈で登録した場合は、その人間を連れてこないとパスできないけど
登録者本人と切り離して誰にでも携帯させられるようなもので登録した場合は
それを他人に渡すことで、何らかの不正行為が可能になるかもしれませんよ
ホームレスに大根を使って口座を作らせて、その大根と通帳を他人に売り渡すとか
47 :
名無しのひみつ:2005/07/05(火) 19:43:11 ID:ukK87Mmn
48 :
名無しのひみつ:2005/07/05(火) 20:14:49 ID:7OIXSLJa
>>1 >作ってから1週間経過した大根では、受け入れ率が98%に低下する
なんか笑った。
49 :
名無しのひみつ:2005/07/10(日) 23:26:56 ID:a/CrGZEd
>今回の報告は研究の途中経過を示したもので、これをもって、直ちに「銀行が使う静脈認証の危険性が高い」
>とは断言できない。本物の人間の指を静脈認証装置に登録した上で、
>それに似せた偽造指を照合に掛ける実験の結果を、まだ示していないからだ。
>偽造指を使って、既に静脈パターンを登録済みの人になりすますのは、より困難と見られる。
これと同じつっこみをいちいち書き込むなよw
50 :
名無しのひみつ:2005/07/11(月) 23:02:23 ID:LY5IDAGC
悪意のある犯人が偽の指で預金情報の本人登録し、
他の犯罪者が本人になりすまして、預金を引き出し、
本人が不正請求することができる。
51 :
テロテ:2005/07/11(月) 23:20:57 ID:pNBLFZfN
>50
そうかな?
その場合には、かならず何らかの証拠が要求されるんじゃないの?
偽の指ってこと、すぐバレない?
52 :
名無しのひみつ:2005/07/11(月) 23:34:52 ID:LY5IDAGC
>>51 先ず、指のかけた2名を雇う。
大金を預金し、犯罪にあったフリをして、
保険料を取る。
ちと、人差し指や中指をつめた人物は少ないな。
この犯罪は難しいか?
53 :
名無しのひみつ:2005/07/11(月) 23:43:53 ID:MOexaTuU
いつぞや頑丈な鍵がボールペンで開いたってニュースもあったしなぁ
やっきになって高度なものを開発してると案外身近な物を見落とすかもな
54 :
名無しのひみつ:2005/07/12(火) 01:37:10 ID:WnQ4Hglw
やはり大根は新鮮な方がいいんだな
55 :
名無しのひみつ:2005/07/12(火) 20:48:16 ID:8dQNrpsk
>>1 静脈パターンの登録データを職員が持ち出せないように、静脈パターンで認証。
職員の静脈パターンは・・・
56 :
名無しのひみつ:2005/07/12(火) 20:50:29 ID:8dQNrpsk
>>48 作ってから1週間経過した大根で登録すれば1か月はOK。
57 :
名無しのひみつ:2005/07/12(火) 20:53:14 ID:8dQNrpsk
エイリアン3では口臭?で認証していた様な・・・
58 :
名無しのひみつ:2005/07/13(水) 23:09:24 ID:Y18hLIWg
>>53 ってか、静脈認証だの指紋認証だのを作ってるのは、
画像認識の専門化。セキュリティ面はただの素人。
ぶっちゃけ、画像認識の応用がないから
じゃぁ認証にでも使いましょうか、
じゃないとうちのグループに儲からなくてやってけないし、
っていう政治的な理由で研究してるやつもかなり多い。
そんな連中が「××認証は安全ですよ」なんていっても
まったく信用ならんのはいうまでもなし。
59 :
名無しのひみつ:2005/07/13(水) 23:17:32 ID:fgIAHqXo
まじっすか
じゃあ画像処理と情報セキュリティと両方勉強しとけば
就職口があるかな?
60 :
名無しのひみつ:2005/07/13(水) 23:35:19 ID:Y18hLIWg
セキュリティには似非専門家や自称専門家が大量にいて、
そいつらが安全でもなんでもないシステムを売りまくってるのが現状。
セキュリティは素人には難しいんで、それでもお客さんにはバレない。
だから
>>1みたいな誰でも試せそうな事すら試さんやつらが、
いっぱい現れる。
いい大会社が詐欺師も同然のことしておいて、
当人達も自分が詐欺やってるのに気づいてないっていう、
燦々たる現状がある。
そいつらが
>>1みたいな発表が無い限りのうのうと生き続ける。
>>59 漏れは画像認識の方は専門外だから分からんけど、
話を聞いてる限り現在の技術でセキュアな生体認証を作るのは
そもそも無理っぽ。
61 :
名無しのひみつ:2005/07/14(木) 21:20:35 ID:xLOch4At
>>1 同じ教授、P2Pも破ってるんだよね。(確か)。
ってか、公開鍵をcertificateせずにセキュアなシステム
作れるわけないだろ!!
P2P研究者は、基本中の基本も知らんのか、
知っててとぼけてる悪党なのか。
62 :
名無しのひみつ:2005/08/24(水) 00:27:40 ID:oy7VZTL4
63 :
名無しのひみつ:2005/08/24(水) 01:49:54 ID:nliWwnaP
●虹彩読み取り機のニセモノを置いて、間違えて覗いた人間の瞳を撮影して
クラック用画像を作成
●女子更衣室や女子トイレにつながる壁に穴を開けておいて、覗いた男の瞳を
以下同文
64 :
名無しのひみつ:2005/08/25(木) 05:46:00 ID:F0F6hM+/
認証につかう静脈なり虹彩のデータを横取りして、それをつかって第三者が
認証するのをリプレイ攻撃というんだったっけ。パスワードでも同じだが。
認証システム内部で、パスワードが、そのままの形で保存されていたりして
システム内部関係者がそれを使ったりできないようになっているのが普通の
設計だよね。画像認証のシステムでも、さすがにそうなっている、と、期待
していいんだよね? ね?
65 :
名無しのひみつ:2005/08/25(木) 13:12:54 ID:UI7Mk/kY
>>64 個人ごとの画像特徴DBを、ハッシュ関数みたいな一方向処理したものだけを内部に
蓄えておいて、仮にDBを盗まれても、そこから元の生体情報を再現できないように
なってれば、いいのかな?
パスワードはバレたら変えればいいけど、指紋や虹彩、顔表情といった生体情報は、もし
第三者にデジタル化したデータが盗まれてしまったとしても、「変える」わけにはいかない
からねぇ。盗まれたらその人はもうアウト。出入り禁止にするしかない。
66 :
名無しのひみつ:2005/08/25(木) 22:43:30 ID:8acwdYGX
>>65 ハッシュだと、1ビットでも違うと全然違う値になるので、駄目
>>64のようなことは実現不可能
とはいえ、銀行の暗証番号も暗号化しても総当りで解読は容易だけどな
結局、社会はセキュリティ技術になど頼っては居ないし、将来もバイオメトリクスに
頼る必要はないということ
67 :
名無しのひみつ:2005/08/26(金) 00:43:23 ID:O4CI7Txx
ふむ。ラッダイトか。
68 :
名無しのひみつ:2005/08/26(金) 09:15:26 ID:ylMd33us
64-66の問題は、「大根」攻撃より、ある意味深刻ではないのか?
生体データの(データ空間の距離による)近傍を、その分解能で割って
整数化したものの全部のhashを持つようにしたら?
69 :
名無しのひみつ:2005/08/26(金) 09:42:18 ID:6cc1Qgwo
>>68 近傍の境界付近では両方のハッシュが必要で、ハッシュの総量は取得
データ量の指数となるから、無理
70 :
名無しのひみつ:2005/08/26(金) 14:22:20 ID:mqOdU7qf
腕一本のゼラチンを持って銀行をうろついてるヤツが居たら怪しまれるだろ。
ATMなら危ないな
71 :
名無しのひみつ:2005/08/26(金) 15:45:55 ID:ik3huCH5
>>66 総当たりはむりぽ。
パスワードエラーが一定頻度を超えると警戒モードに入るのは今や基本。
外出だが「大根を指と誤認させる」だけではなーんのいみもない、よね??
72 :
名無しのひみつ:2005/08/26(金) 15:53:41 ID:cjcLRnO5
>結局、社会はセキュリティ技術になど頼っては居ないし
すげえ結論だなwww
73 :
名無しのひみつ:2005/08/26(金) 16:35:38 ID:37OFGLEg
>>71 >外出だが「大根を指と誤認させる」だけではなーんのいみもない、よね??
あるだろ
認証媒体の調達や極めて用意で、偽造難度もあまり高くないことを示している
偽造媒体で認証を通るには
「照合データの入手」「認証媒体の入手」「認証媒体への照合データの正しい埋め込み」の3つが必要
このうちの一つが実質だれでも可能というのはかなり問題
ぶっちゃけていえば、媒体面に限れば偽造クレジットカードより楽勝と言うこと
また照合データそのものに充分保全策をかければいいと言う意見もあるが
それなら既存のカードや暗証番号システムでも大差ないことになるし
生体認証だと
>>65が言うように漏れても変えられないだけ今より不便
生体認証の本命用途は、高度なセキュリティが必要な所ではなく
日常の簡易な認証用だとおもうよ
マンションやビルの共同エントランスとか、電車の定期券所持チェックとか
個人宅の玄関や定期代の決済に使用するには生体認証は無理がある
74 :
名無しのひみつ:2005/08/26(金) 16:37:19 ID:pdZTl9Vw
指を使うのは富士通の携帯の
みんなのゴルフのアプリだけでいいよ
75 :
名無しのひみつ:2005/08/26(金) 18:13:35 ID:ik3huCH5
>>73 「照合データの正しい埋め込み」が期待できないような素材では、
「認証媒体」と言えんとおもうんだが。大根は、既存の技術に頼る限り、その辺不合格だろ。
最初「大根に照合データを埋め込めた!」という記事かと思って「すげーっ!」だったが、
そうじゃなかった、ガカーリ、という話。
76 :
名無しのひみつ:2005/08/26(金) 18:20:15 ID:rll1eyV9
>>71 おまえ、システムレベルの思考ができないようだが、夏厨?
>>66 >とはいえ、銀行の暗証番号も暗号化しても総当りで解読は容易だけどな
は、
>>65 >個人ごとの画像特徴DBを、ハッシュ関数みたいな一方向処理したものだけを内部に
>蓄えておいて、仮にDBを盗まれても、そこから元の生体情報を再現できないように
>なってれば、いいのかな?
を受けての話だ。
銀行から暗証番号DB盗んだら、ハッシュされてたって10000回の総当りで解読できる。
77 :
名無しのひみつ:2005/08/26(金) 18:29:08 ID:ik3huCH5
>>76 そっちの意味かい。
つーか、
>>65を受けて
>銀行から暗証番号DB盗んだら、ハッシュされてたって10000回の総当りで解読できる。
に飛ばすのは無理があるぞ。
78 :
名無しのひみつ:2005/08/26(金) 18:32:30 ID:ik3huCH5
しつれい。よくかんがえたら、
>銀行から暗証番号DB盗んだら、ハッシュされてたって10000回の総当りで解読できる。
は無理じゃないか? すくなくとも、ハッシュ関数を知ってる必要があるんじゃないか?
79 :
名無しのひみつ:2005/08/26(金) 20:38:04 ID:6cc1Qgwo
>>78 DB盗めるくらいなら、ハッシュ関数くらい知ってて当然じゃないか?
そのへんが「システムレベルの思考」ってやつだと思うぞ
80 :
名無しのひみつ:2005/08/26(金) 21:35:14 ID:ik3huCH5
>>79 >DB盗めるくらいなら、ハッシュ関数くらい知ってて当然じゃないか?
それはあんまり「当然」とは思わんが。最近は変わったんかな。
(えっと、これはあくまで「ハッシュ関数の種類を知っている」って意味で話してるよね。
「ハッシュ関数という概念を知っている」だけじゃ、総当たり解読は無理なんで、それでいいよな。)
81 :
名無しのひみつ:2005/08/26(金) 21:41:45 ID:6cc1Qgwo
>>80 「種類」ねー、、、
具体的計算方法がわからないと、種類だけ分かっても無意味だぞ
DB盗めるほど銀行内部に入り込んでれば、ハッシュ関数の具体的知識もあって不思議はない
守る側は、当然、そう仮定しないといけない
>それはあんまり「当然」とは思わんが。最近は変わったんかな。
今も昔も当然だ
それすらわからない奴がセキュリティをかたるな
82 :
名無しのひみつ:2005/08/26(金) 21:48:57 ID:ik3huCH5
>>81 あのさ。そこまで内部に入れるなら、トロイの木馬仕込んで終わりでしょ?
10000回の総当たりも不要だよ。
「守る側はそう仮定しなければならない」のと
「その条件で実際にできるか」を区別するのは、
システムレベルの思考では必須だと思うんだが?
>具体的計算方法がわからないと、種類だけ分かっても無意味だぞ
種類を知っているけれど、具体的計算方法がわからないって、どういうケースだ?
名前だけ知ってるケースとか??
いちおう、具体的計算方法まで知ってて、「種類がわかっている」としとこうや。
83 :
名無しのひみつ:2005/08/26(金) 21:59:59 ID:n9X5XvrP
大根で作った模造品を彼女は100%受け入れるけどな〜
84 :
名無しのひみつ:2005/08/26(金) 22:04:11 ID:6cc1Qgwo
>>82 >あのさ。そこまで内部に入れるなら、トロイの木馬仕込んで終わりでしょ?
べつに、それでもいいけどな、、、
しかし、トロイの木馬はアクティブアタックなので、単なるパッシブな情報収集より一段上
なのも、わからん?
わかんないんだろうなー
>「守る側はそう仮定しなければならない」のと
>「その条件で実際にできるか」を区別するのは、
守る側には区別はない、同じだ
>種類を知っているけれど、具体的計算方法がわからないって、どういうケースだ?
パラメーターが違うケースだよ
そこがわかってる奴は「種類」なんて不正確な言葉、最初から書かないもんだ
ついうっかり書いちゃうようなやつは、セキュリティには向かない
お前はセキュリティ実務にも疎いみたいだな
85 :
名無しのひみつ:2005/08/26(金) 22:17:16 ID:ik3huCH5
>>84 >単なるパッシブな情報収集より一段上 なのも、わからん?
ハッシュ関数の種類が特定できる時点で、データもコードも見放題、つうことだろ?
銀行のシステムとしてはかなり危機的状況だぞ。
そんな状況でアクティブアタックを警戒せんのか?
警戒厳重なのかザルなのかよくわからんな。
>守る側には区別はない、同じだ
区別しないと、何かが起こったときに「どこから重点的に守るか」の判断ができないとおもうんだが?
>パラメーターが違うケースだよ
その場合は「具体的計算方法がわからない」なんて言わないと思うんだがなあ。
単に「パラメータがわからない」だろ?
で、ハッシュ関数の種類は、どうやって特定するの?
そもそも、ハッシュ関数の種類が特定できないと、どんなパラメータがあるかも、わからんはずなんだが。
(そもそも、ハッシュ関数にパラメータがあるかすら、わからんしな。ま、実用されてるハッシュ関数で、パラメータがないのははなかろうが。)
ひょっとして、なぜわざわざ「ハッシュ関数の種類」と書いたか、わかってない?
86 :
名無しのひみつ:2005/08/26(金) 22:42:36 ID:cjcLRnO5
>>66の
>とはいえ、銀行の暗証番号も暗号化しても総当りで解読は容易だけどな
を読んで、漏れも
>>71と同じように解釈してたんだけど
ところで、そのハッシュデータの流出を防ぐための、装置の耐タンパー化技術は
「システムレベル」の議論では「セキュリティ技術」とは見なさないわけ?
「機械を入手したり、機械内部に物理的にアクセスできるアタッカーなら
なんでもできるじゃん。だからセキュリティなんて得られないよ。はい、終わり」
てこと?
87 :
名無しのひみつ:2005/08/26(金) 22:45:34 ID:NGsev/gr
>>79 ハッシュ関数はRFC準拠ものだけではないんだが....
一方向性であればなんでもいい、自分で作っても良い。
たとえばRFC準拠のハッシュ関数を使っていて
md5({暗証番号});
sha1({暗証番号});
のような単純な計算であれば 10,000回(平均5,000回)で解析可能だが
md5({適当なprefix}{口座開設日}{口座番号}{暗証番号}{適当なsuffix});
sha({適当なprefix}{口座開設日}{口座番号}{暗証番号}{適当なsuffix});
のような事をやっているとしたらprefix,suffix,開設日も知らなきゃダメだ。
88 :
名無しのひみつ:2005/08/26(金) 22:56:48 ID:XafNZXIA
明太子でも可能。
89 :
名無しのひみつ:2005/08/26(金) 22:59:07 ID:ik3huCH5
>耐タンパー化
恥ずかしながら知らなかったので、ググりました。勉強になります。
個人的には、セキュリティは「不正アクセスを不可能にする」のではなく、
「不正アクセスの難易度を少しでも増す」「不正アクセスできるまでの時間をふやす」
技術だと思ってます。その意味で、耐タンパー化は効果ありそうです。
でも、耐タンパー化は使用者へのアクセシビリティ低下を招く可能性もありそうですね。
そのあたりのトレードオフが、実際にはどうなるのかなあ。
90 :
名無しのひみつ:2005/08/27(土) 00:21:13 ID:NmEBo7t2
顔特徴や指紋は、日頃フツーに晒しながら生活するモノだから、高精細な顔写真や、
ドアノブとかつり革を握った指紋の跡から、認証装置を突破できるようなフェイクが
造られるようだとやヴぁいな。つね日頃からグラサンと白手袋が手放せない生活に
なっちゃうYO。こんなのなら、秘密の4桁暗証番号とかの方が、はるかに安全だね。
静脈パターンみたいな、「表から見えない」生体特徴ならば、こういう盗撮やストーキング
行為からフェイクが造られる心配はないけど、でも外部から簡単に読み取れる生体
特徴なら、騙して読み取ることは、ちょっと頭を使えば可能だよね。日常生活で、
手のひらをかざしたり触れたりする場所にコソーリと...なんか「RFIDタグによるトラッキングの
危険」を思い出させる話だな。RFIDタグはちぎって捨てればいいけど、体内生体特徴は...
こう考えると、読み取り困難な究極の生体特徴=頭の中身 という気もするな。
やっぱり暗証番号最強?
91 :
名無しのひみつ:2005/08/27(土) 00:31:02 ID:J8OyRwiC
どんなセキュリティも強盗には全く無力だしなぁ。
中国では指紋認証のために被害者の腕を
切り落としてセキュリティ突破した実例がある。
92 :
名無しのひみつ:2005/08/27(土) 00:31:45 ID:CxOvn8vn
暗証番号は、不特定多数に付与する場合、運用がむずかしいんだなあ。
忘れちゃうとか、メモとられちゃうとか。誕生日にされちゃうとか。
ユーザーが「そういうことをやるやつだ」という前提でシステムくまないかん。
そう考えると、指紋や顔はともかく、静脈認証のたぐいなら、生体認証にもアドバンテージはあるのかなあ、と。
頭の中、といえば、銃夢というマンガで、脳みそにバーコードやきつけて認証、つうのがあったな。
93 :
名無しのひみつ:2005/08/27(土) 00:34:15 ID:qtWWs9jf
>>85 > ハッシュ関数の種類が特定できる時点で、データもコードも見放題、つうことだろ?
> 銀行のシステムとしてはかなり危機的状況だぞ。
「社会はセキュリティ技術になど頼っては居ない」のだよ
> そんな状況でアクティブアタックを警戒せんのか?
警戒するのはいいが、それ以下のアタックで崩れるんだから、わざわざ特別に警戒してもしょうがないわな
> 区別しないと、何かが起こったときに「どこから重点的に守るか」の判断ができないとおもうんだが?
情報流出事件では、何かが起こったときは、全部手遅れ
> その場合は「具体的計算方法がわからない」なんて言わないと思うんだがなあ。
そのとおり
実際おまえは俺に指摘される前には「具体的計算方法がわからない」なんて言わなかっただろ
>>87 >md5({適当なprefix}{口座開設日}{口座番号}{暗証番号}{適当なsuffix});
暗証番号を照合するサーバは、その全ての情報にアクセスできる(というか、性能考えると、ローカルに持っ
てる)ので、全く難しくなって無いぞ
>>90 騙すまでもなく、自分で認証装置運用してる側なら、簡単に他人の情報を得られる
バイオメトリクスが普及した場合、例えばクレジットカードが使える店全てが認証装置運用して客の情報を
もらえるようになるから、ほとんど公開情報、バイオメトリクス認証も意味を失う
94 :
名無しのひみつ:2005/08/27(土) 00:35:02 ID:CxOvn8vn
>>91 映画でもよくあるな。目玉とか腕とか。
一応静脈認証は、血が流れてる状態かどうかを判別できるんだって。
切断した指や手を他のやつに移植したらどうか、つう問題は残るのか。
95 :
名無しのひみつ:2005/08/27(土) 00:58:53 ID:CxOvn8vn
>>93 >警戒するのはいいが、それ以下のアタックで崩れるんだから、わざわざ特別に警戒してもしょうがないわな
あのぉ。「何が崩れるか」は前提にしないの?
暗証番号クラックできたって、他人の口座をどうこうできる程度なんだよ。
それはそれで大問題だけどさ。
それ以上のことができるんだけど、警戒しないの?
例えば、口座以上の金額を振り込んだり、振込先を隠蔽できたりするんだけど。
>そのとおり
>実際おまえは俺に指摘される前には「具体的計算方法がわからない」なんて言わなかっただろ
だったら、そんな言い方しなきゃいよかったじゃん。
「パラメータが違う」と言えばよかったのに。
>暗証番号を照合するサーバは、その全ての情報にアクセスできる
>(というか、性能考えると、ローカルに持っ てる)ので、全く難しくなって無いぞ
プログラム領域とデータ領域のアクセス権を分けるとか、いろいろやりかたはあるはずだが。
プログラムの実行とデータアクセスはできても、プログラムの読み書きはできないとかな。
そもそも、サーバにハッシュ前の暗証番号がそのままきているのか? とか、いろいろ疑問はあるな。
実際の銀行システムは、もちっと複雑なんだろうけど。
>例えばクレジットカードが使える店全てが認証装置運用して客の情報を もらえるようになるから
だとすると、両替機や自動販売機が普及している今、偽札作りは簡単にできる、という理屈にならんか?
そのあたり、いろいろ工夫してるらしいけどな。
>情報流出事件では、何かが起こったときは、全部手遅れ
問題は”何が”手遅れかなんだがな。
そのへんもセキュリティの基本だったはずだが?
>「社会はセキュリティ技術になど頼っては居ない」のだよ
それはあんたの個人的意見だと思うよ。
まあ確かに、93程度のセキュリティ技術なら、社会は必要としないわな。
96 :
名無しのひみつ:2005/08/27(土) 00:59:43 ID:3Wn/kVxC
ヤバイ、シャブが切れた。
ヤバイ、シャブが切れた。ヤバイ、シャブが切れた。
ヤバイ、シャブが切れた。
ヤバイ、シャブが切れた。ヤバイ、シャブが切れた。ヤバイ、シャブが切れた。
ヤバイ、シャブが切れた。
ヤバイ、シャブが切れた。ヤバイ、シャブが切れた。
ヤバイ、シャブが切れた。ヤバイ、シャブが切れた。ヤバイ、シャブが切れた。
ヤバイ、シャブが切れた。
ヤバイ、シャブが切れた。
ヤバイ、シャブが切れた。ヤバイ、シャブが切れた。
ヤバイ、シャブが切れた。ヤバイ、シャブが切れた。ヤバイ、シャブが切れた。
ヤバイ、シャブが切れた。ヤバイ、シャブが切れた。
ヤバイ、シャブが切れた。ヤバイ、シャブが切れた。
97 :
名無しのひみつ:2005/08/27(土) 02:49:23 ID:oAMwf65J
>>94 その「血が流れているかどうか」を大根で突破できたって話じゃないの?
98 :
名無しのひみつ:2005/08/27(土) 03:52:05 ID:CxOvn8vn
>>97 あ、そーなのか?
だとしたら、それはそれですごいな。でもその辺書いてないなー。
とりあえず、大根だと静脈パターン写し込みはむりぽなので、
三次元プリンタ使えるプラスチックっすかねえ。
遺伝子認識というものはムリポ、
そのひとの記憶に頼ったものがいい。
例えば、画面上のマスコットからあらかじめ設定したものを20ほど用意して、
認証毎に暗証番号とサイン認証と先ほどのマスコット認証を5程やれば、かなりいい。
まぁ横流しされても、一時間ごとに表示するべきものを変えるのを通信ナシで出来ればいいんでない?
>>99 たとえば、おじーちゃんとか、それで、OKかねえ?
101 :
名無しのひみつ:2005/08/27(土) 07:32:55 ID:qtWWs9jf
>>95 > あのぉ。「何が崩れるか」は前提にしないの?
> 暗証番号クラックできたって、他人の口座をどうこうできる程度なんだよ。
プッ
銀行って何のために存在してると思う?
> だったら、そんな言い方しなきゃいよかったじゃん。
お前が間違った言い方したのは、おまえの責任
>>暗証番号を照合するサーバは、その全ての情報にアクセスできる
>>(というか、性能考えると、ローカルに持っ てる)ので、全く難しくなって無いぞ
> プログラム領域とデータ領域のアクセス権を分けるとか、いろいろやりかたはあるはずだが。
付け焼刃の知識で必死だな
ところが、読めない情報はハッシュに使えないって基本を見落としてて、悲惨
> 実際の銀行システムは、もちっと複雑なんだろうけど。
プッ
> だとすると、両替機や自動販売機が普及している今、偽札作りは簡単にできる、という理屈にならんか?
お前、クレジットカードの喩えも全く理解できてないじゃないか
偽札作りで生体情報収集機に相当するのは、スキャナだ
スキャナのおかげで偽札作りは簡単にできてるのは、周知のとおり
> まあ確かに、93程度のセキュリティ技術なら、社会は必要としないわな。
残念、93が最上ですから
102 :
名無しのひみつ:2005/08/27(土) 07:37:16 ID:qtWWs9jf
>>85 > ハッシュ関数の種類が特定できる時点で、データもコードも見放題、つうことだろ?
>>95 > プログラム領域とデータ領域のアクセス権を分けるとか、いろいろやりかたはあるはずだが。
> プログラムの実行とデータアクセスはできても、プログラムの読み書きはできないとかな。
痛杉
103 :
86:2005/08/27(土) 07:59:48 ID:dcz+Dnyq
>>101 >銀行って何のために存在してると思う?
他人の口座をどうこうできるというのは大問題だが、
それより大きな問題はあり得るという指摘なんだが。
具体的例まで書いてあげたんだけど、違うと思う?
>お前が間違った言い方したのは、おまえの責任
間違った言い方なんてしてませんが、なにか?
いまだに「種類」と言ったのは間違ってる、と言ってる??
>ところが、読めない情報はハッシュに使えないって基本を見落としてて、悲惨
なにか問題でも?
俺なら、ハッシュデータとプログラムを同時に読む事ができなくて、
かつ、ちゃんと動くプログラム、組めそうだけどな。
プロセス間通信使ったら終わりじゃん。
>偽札作りで生体情報収集機に相当するのは、スキャナだ
あんたの理屈で行くとさ。両替機のシステムが解析できるはずだから、
より両替機に特化した偽札が、もっとボロボロ出てそうなものじゃん。
お札と偽札を見分ける機構そのものが、何万とコピー配られてんだからね。
でも現実には、偽札作りに使われるのは、あくまで汎用スキャナなんよな。
で、つくってる人に聞いたら、あんまりおおっぴらに言えないけど
(言うと破るヒントになるから)いろいろがんばってるんだって。
余談だが、偽札への関与はスキャナだけじゃないわな。
印刷技術の向上とコストダウンが大きい。
>>102 だからさ。
ふつーはさ、プログラム領域の方がデータ領域よりもセキュリティ高くしてんだろ。
ハッシュの種類を特定される時点でプログラム領域の読み込みを突破された可能性高い、ってことじゃん。
そこまで突破されてるってことは..って、わかってんのかなあ。
とりあえず、93が最上らしいですが、ほんとなんすかね。
105 :
名無しのひみつ:2005/08/27(土) 08:16:08 ID:qtWWs9jf
>>104 >それより大きな問題はあり得るという指摘なんだが。
ない
>俺なら、ハッシュデータとプログラムを同時に読む事ができなくて、
>かつ、ちゃんと動くプログラム、組めそうだけどな。
>プロセス間通信使ったら終わりじゃん。
ハッシュするプログラムの側からは、すべてのデータがアクセス可能
>あんたの理屈で行くとさ。両替機のシステムが解析できるはずだから、
それ、お前の思い込み
というか、悪い店や店員が何を使って客をどう騙すか、何も理解できてないな
>ふつーはさ、プログラム領域の方がデータ領域よりもセキュリティ高くしてんだろ。
プッ
お前、もういいよ
>>105 >ない
まあ、あんたがそういうならそれでいいよ。
>ハッシュするプログラムの側からは、すべてのデータがアクセス可能
プログラムがデータにアクセス可能、というのと、
プログラムのコードが読める、というのは、別問題、でいいよね??
ハッシュの仕方をデータとして外部に持つのではなく、コードの中に埋め込んじゃえば、
(87の例で言えば、prefix・suffixをプログラムの中に埋め込んでしまえば)
プログラムのコードが読めない限り、解析できない(もしくは困難)のはず、だと思うんだけど。
間違ってるかな?
>というか、悪い店や店員が何を使って客をどう騙すか、何も理解できてないな
この話とは無関係だと思ってるよ。
>お前、もういいよ
ま、いいけどさ。
数カ月前の話だし既存のパターンを偽造する話でもない。無駄なスレ
108 :
名無しのひみつ:2005/08/27(土) 09:24:43 ID:We6BtQbX
中国様がこのニュースに関心を抱きマスタよ
>>93 >「社会はセキュリティ技術になど頼っては居ない」のだよ
自己レスだが、最近の例だとこんなのがあるな
【金融】金融庁が東京三菱に業務改善命令。派遣社員が9億円以上の顧客預金着服
http://news19.2ch.net/test/read.cgi/newsplus/1125038986/ これで、東京三菱が「セキュリティ強化のためにバイオメトリクス導入」とかしたら、笑うぞ
派遣社員はバイオメトリクス認証をパスできるからな
明らかな解決策は、派遣に頼るのをやめて正社員にすることだ
で、重要な権限は、正社員のうちでも安定した家庭を持つ奴にしか与えない
「(養子でもいいから)子供三人以上」とかを昇進の条件にしたら、少子化対策にもなるな
>正社員のうちでも安定した家庭を持つ奴にしか与えない
これの根拠は?
脅迫されたってやることは同じだよ。
>>109 あのさ。セキュリティ技術に対して、むしろ変な方向に期待を持ってるんじゃないのか?
112 :
86:2005/08/28(日) 04:15:33 ID:OfSv4ryN
113 :
名無しのひみつ:2005/08/28(日) 20:40:09 ID:10Gg6RL9
114 :
名無しのひみつ:2005/08/28(日) 23:01:04 ID:tqwKKJdU
大根でいいならチンコでも認証できそうだな
>だいたい生物てのは、排他的であり「喰うか喰われるか」が基本。
はい50点。もうひとつ「共生」つー基本戦略があるよ。
なんせ、人間そのものが、細胞内共生や腸内細菌など、何百兆の共生のたまものやけんね。
誤爆すまそ。
この結果から更に「照合データの埋め込み」まで後に成功すると仮定して、
そうなると掌や手の甲は、指に対してこれまで(機器コストから)不利と思われていた
「物理的大きさ」をアドバンテージにすることも出来るかもな
指くらいなら持ち込めても、偽造掌や切断してきた掌じゃいくらなんでも怪しくて仕方ない
まぁ、それ以前に切断した指だの掌だのを持ち出すのは既に
「違う段階の事件が起きた結果」なので、セキュリティだけで論じる話じゃないなw
生きてる本人だって脅されて金降ろさせられれば生体も暗証番号も関係ないし
118 :
名無しのひみつ:2005/08/29(月) 00:13:17 ID:y4U0ydGX
>>117 >「違う段階の事件が起きた結果」
大根くらい、泥棒して事件にするまでもなく八百屋で買うと思うが?
>>118 違う段階の事件てのは
>切断した指だの掌だのを持ち出す
ケースのことだと断っているじゃないか
掌サイズの大根ベース造形品を作るのも難しそうだが
120 :
名無しのひみつ:2005/08/29(月) 01:37:16 ID:BvvNoeol
/ ̄ ̄ ̄ ̄ ̄ ̄ \
/⌒ヽ / '''''' '''''' ヽ
| / | (●), 、(●) |
| | | ,,ノ(、_, )ヽ、,, |
| | | `-=ニ=- ' |
| | ! `ニニ´ .! 刺客じゃ、これも刺客の仕業じゃ!
| / \ _______ /
| | ////W\ヽヽヽヽ\
| | ////WWWヽヽヽヽヽヽヽ
| | ////WWWWヽヽヽヽヽヽヽ
E⊂////WWWWWヽヽヽヽヽヽヽ
E//// ヽヽヽヽヽヽヽ
| | //WWWWWWWヽヽヽヽヽヽヽ
121 :
名無しのひみつ:2005/08/29(月) 08:26:09 ID:y4U0ydGX
122 :
名無しのひみつ:2005/08/30(火) 10:01:55 ID:agZ3200G
>>109 >これで、東京三菱が「セキュリティ強化のためにバイオメトリクス導入」とかしたら、笑うぞ
>派遣社員はバイオメトリクス認証をパスできるからな
通常は権限を付与するんだが....
>>114 ・熱かったり寒かったりで収縮したり、弛緩したりするから無理くね?
・センサーをどんな形にするんだ?マンコ型?感染症怖くね?
認証エラーは切断?<コウェ〜(((( ;゚Д゚)))ガクガクブルブル
・ってか女は?
123 :
う:2005/08/30(火) 10:13:54 ID:kGUPEj/k
124 :
名無しのひみつ:2005/08/30(火) 11:58:00 ID:sI5YjvU9
>>34 網膜は、光の明暗によって虹彩が動く事も読み取っているので、静止画では不可
125 :
名無しのひみつ:2005/08/30(火) 11:59:57 ID:sI5YjvU9
>>38 血管なので、血液が通ってないと形状が違う。
なので 生体でないと読み取り不可。
この実験は、同じものを人ではないもので試した結果受け付けてしまったわけで、
コピーが取れるというわけでもない。
126 :
名無しのひみつ:2005/08/30(火) 13:48:42 ID:zTjVPJ0j
>>125 >血管なので、血液が通ってないと形状が違う。
>なので 生体でないと読み取り不可。
その程度で安易に「不可」などと断言するあたり、ずぶのど素人か、現場を全く知らない
セキュリティ理論の研究者とみた
小型ポンプつないで適当な液体(本物の血液も可)を循環させとけば、ええやん
脈動もさせて
>>123 何をいまさら
ただのダゴンの使徒だろ
127 :
名無しのひみつ:2005/08/30(火) 14:12:57 ID:wfKtcj4O
肛門のひだ認証でええやん。
センサー棒を挿し込んでキュッと締めると認証されるの。
>>122 女は膣内壁認証。センサーはもちろん(ry
ATMの待ち行列の長さがギネスに乗りました。
>>126 毛細血管いっぽんいっぽんににポンプをつなぐのが一仕事だし、
うまくやらないとすぐ血液が凝固しそうだな。
読み取り不可能とは言わんが、それなりに敷居は高そうだ。
131 :
名無しのひみつ:2005/08/30(火) 20:30:37 ID:V+3cYkKi
>>130 毛細血管?
動脈と静脈2~3本でいいだろ
血液凝固には、ヘパリンだし
132 :
名無しのひみつ:2005/08/30(火) 20:36:52 ID:4Snqt8Id
ハッカー教授
この教授も、この記事を書いた奴も馬鹿だろ。
のだめタソが千秋にガンガン突かれて絶叫しながらイッちゃう画像キボンヌ!!
誤爆スマソ。。。
どんなに巧妙に作ろうが、ポンプつないだ手首をATMで持ち出したら
(隠してても動きとか)不自然極まりないぞ
どんなにポンプ小型化しても手首自体の大きさも結構なもんだ
苦労した上に期待しうる報酬に対してリスクが大きすぎないか
>>134 誤爆にレスするのもアレだがそれは原作的に想像つかないシチュだな。
>>131 >毛細血管?
>動脈と静脈2〜3本でいいだろ
あ、そっか、掌だとそんなもんか? 指だとも少し面倒か?? おしえてえろいひと。
どのみち、すぐに劣化しそうだし、一発勝負にしか使えん技だな。
136の指摘通り、ATMから金おろすには実用的でないな。
007の敵役が核爆弾の起爆に使うとか、そんなところか。
139 :
名無しのひみつ:2005/08/31(水) 05:53:10 ID:lOX+wvXH
>>138 >どのみち、すぐに劣化しそうだし、一発勝負にしか使えん技だな。
生体情報にしろ生体そのものにしろ、入手したら犯行がばれる前に速攻で使うに決まってるじゃないか
>136の指摘通り、ATMから金おろすには実用的でないな。
なんか、必死で実用性を否定したいみたいだが、どうした?
手首は手首の大きさしかないんで最初から袖の中にいれとけばいいし、ポンプはベルトポーチに収納でいいぞ
銀行が「生体認証利用すれば一日あたり引き出し限度額が増える」とかバカなことやりそうで怖いよ
140 :
名無しのひみつ:2005/08/31(水) 09:13:46 ID:LIB6kqmj
まあ、銀行も落ち度に対しては保障が必要になったから、
めちゃくちゃなことはできないでそ
141 :
名無しのひみつ:2005/08/31(水) 13:56:35 ID:ASF9fpym
1回あたりの引き出し限度がついているのは、防犯目的じゃなくて、ATMに補充するのが
面倒だからあるんだよ。
142 :
名無しのひみつ:2005/08/31(水) 14:28:41 ID:qAvCw2l1
>>140 ワンマン頭取とか集団無責任体制とかだと、組織としての判断力はなくなり、何でもやっちゃう
バブルの頃に多くの銀行がどんなことやったか、思い出してみろ
>>141 >1回あたり
>1回あたり
>1回あたり
143 :
名無しのひみつ:2005/08/31(水) 15:18:02 ID:d39iN7b9
>>142 1日あたりの引き出し制限なんてあったか?
144 :
名無しのひみつ:2005/08/31(水) 19:33:48 ID:Ic6tQYvQ
自分の所だと1回20万、1日500万と書いてあった。
それはともかく、システム寄りにいる人間の一部は
モノ自体を用意しなくても認証に必要なデータ
(札なら、本物の札でなくスキャンしたデータ、
生体認証なら対象をスキャンして認証する直前のデータ)を
抜くことができればいくらでも悪用できそうだが、実際はどうなんだろう。
>>144 それやると「だれがやったか」特定されてしまう、つうのはあるかもな。
>>144 顧客データを握っているのは運用側の機関なので、開発側のシステムに詳しい人間がデータを取得するのは難しい。
顧客情報を扱うようなシステムにおいて開発と運用が同じ機関(組織)内ってのは無いような気がするね。
現実に起こった事件を見ても開発側の人間よりも運用側の人間による犯罪の方が多いと思う。
大体、内部の犯行というのはすぐばれる。
萌&薫の痴女姉妹が千秋の精液を一滴残らず搾り取る画像キボンヌ!!
誤爆スマソ。。。
国家機関が、他国の経済(信用)システムを混乱に陥れる目的で、
個人の生体データのデータベースを取得するとなれば、買収、スパイ行為にも
金や手間を惜しまず、取得データの解読や、悪用に、攻撃側の国の数理的な
エリートを投入できるだろう。そういうことまで想定した対策が必要では?
>>149 今現在運用されている公開鍵インフラの安全性を保つためには
ルート認証局のセキュリティは、当然
>>149程度のことを想定して
設計・運用されてなければいけなくて、実際そうなっています。
151 :
名無しのひみつ:2005/09/03(土) 23:37:17 ID:onYyYHtR
>>150 >今現在運用されている公開鍵インフラの安全性を保つためには
>ルート認証局のセキュリティは、当然
>>149程度のことを想定して
>設計・運用されてなければいけなくて
ここまでは、正しい
>実際そうなっています。
ここは、嘘
間違えた
>>151 ガガ━━(゚Д゚;)━━ン
154 :
名無しのひみつ:2005/09/04(日) 00:24:31 ID:IUr8y3/C
>>151 民間認証局なんか、おおっぴらに金で買っても、誰も文句いえないわけだしな
なんだ・・・
大根で人間の静脈の偽造に成功したのかと思った・・・
156 :
名無しのひみつ:2005/09/04(日) 00:48:58 ID:UbEgSRdS
157 :
名無しのひみつ:2005/09/04(日) 11:13:33 ID:q3hN/3dm
>>154 「売買されるのが嫌なら登録するな」って態度だからな。
158 :
名無しのひみつ:2005/09/17(土) 10:19:48 ID:7aY9rfJv
159 :
名無しのひみつ:2005/09/17(土) 13:10:15 ID:oEvIrjIX
>作ってから1週間経過した大根では、受け入れ率が98%に低下する。
このコメントは何だ?
160 :
名無しのひみつ:2005/09/17(土) 14:09:56 ID:KZFyI5IZ
>>158 詐欺師にだまされてまた税金がどぶにすてられてゆく、、、
161 :
名無しのひみつ:2005/09/18(日) 16:17:56 ID:kcUZWdao
だいこーん?!
なんじゃそりゃだいこん
162 :
名無しのひみつ:2005/09/18(日) 22:59:28 ID:/ZjudWFN
すでに登録した人に、大根でなりすましができたらそりゃ大ニュースだが、
大根で登録して大根で認証できるのは、別に当たり前の事にしか思えないんだが...。
指紋認証が肉球で登録できた!って言ってるようなもんだからな。
いや、大根は登録出来ちゃいけないって言いたいんじゃないのか???
164 :
名無しのひみつ:2005/09/19(月) 06:12:22 ID:szuA+f28
手や指が欠損してる人がこの手の認証システム使う場合は代用品使うしかない
一般人が脈動まで要求されるなら、代用品にも脈動が必要
結局判子とかわらない
かといって、その手の人が利用できないと、障害者差別
>>158は、どう対応するつもりなんだろうね?
肉球を配るのかね?
>>164 あまりリアリティを感じない話だなあ。
手の無い人は使えないからキーボードは障害者差別?
今のATMだって、暗証番号入力には指が必要だし、小人症の人なんかは背が届かなくて使えない。
それでも、いろいろがんばってるでしょ。目の見えない人のために点字案内をつけたり。
静脈認証を採用した上で、障害者対応することって、さほど難しくないと思うんだが。どうよ?
暗証番号と対応させて語るのなら
「記憶障害で番号を覚えられない人はどうすればサービスを利用できるのか」
が相当するのでは。
キーボード入力で例えるのなら、それこそ
「生きた人間の指先によるタイプしか受け付けないキーボードがあったとして
指のない人間はどうやって入力すればいいのか」
という問題が相当するのでは
あ、私は単純に
手のない人用に、静脈認証以外のATMを必ず各銀行・コンビニに配置すること
と法律で定めればいいと思います。たぶん無理でしょうけど。
何が未来の技術なんだか・・・
168 :
Z武:2005/09/21(水) 07:18:48 ID:eQ/JVkAQ
漏れには関係ない話だな
つうかそもそも手の無い人がどうやってオナニーするのか
170 :
名無しのひみつ:2005/10/26(水) 16:50:17 ID:LJk1bTKj
age
この流れなら言える
ちんこの無い私はどうやって彼女に挿入すr
172 :
名無しのひみつ :
脅威の職人技・採血担当の看護士が患者の静脈を探って認証を突破!