IoTはパスワードを不要にする、かもしれない 24
ストーリー by hylom
生体認証よりはコストが安そうだ 部門より
生体認証よりはコストが安そうだ 部門より
あるAnonymous Coward 曰く、
先日、パスワード管理サービスLastPassで情報流出事件が起きた。パスワードというシステムは、個人認証のシステムとしては問題が多くなってきていると感じる。IT WORLDの記事によれば、ウェアラブルおよびスモールフォームファクタデバイスへの移行は、「パスワードの引退」を早める役割を果たす可能性があるという。
たとえばApple Watchは自分の携帯電話とペアリングすることによりパスワードを不要としている。このような二要素認証技術は多くのWebサイトでも一般的になりつつある。Apple Watchのようなウェアラブルデバイスと機器との組み合わせは、たとえば「ドアに近づいたらロックが解除される」といった手段として今後も拡大していくと見られている。米国のサーバー証明書認証機関「DigiCert」のJason Sabin氏は、服や電話、時計、靴といったものがIoTデバイスとして認証され、その組み合わせが個人認証に使えるかもしれないと語っている(Slashdot)。
鍵もIoT (スコア:0)
物理的な鍵が使われなくなるんは便利だが、ハックの可能性が怖い
Re: (スコア:0)
> 服や電話、時計、靴といったも のがIoTデバイスとして認証され、その組み合わせが個人認証に使 えるかもしれない
むしろソフトな鍵が物理鍵に変わるって話じゃないんすか?
Re: (スコア:0)
ブルーウォーターとか飛行石みたいのだとかっこいいかも。てか、車の鍵だよな。
Re: (スコア:0)
ソフトな鍵の問題と物理鍵の問題点を併せ持つ新たな鍵
Re: (スコア:0)
車のキーレスエントリーの電波を中継・増幅して持ち主宅にある鍵が車の前にあるかのように見せて解錠するなんて手口が既にあったような
Re:鍵もIoT (スコア:2)
http://wired.jp/2015/04/19/new-york-times-columnist-falls-prey-to-sign... [wired.jp]
このニュースですね。対抗策としては冷蔵庫などの電波暗室に鍵を保管するしかなさそうです。
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re: (スコア:0)
車こそ指紋認証にしたらいいんじゃない?どうせ開け閉めのときドア触るんでしょ?
Re:鍵もIoT (スコア:1)
Re: (スコア:0)
物理的な鍵も脆弱性がないわけじゃないけど、すくなくとも全世界から攻撃を受けるということはない。
おいおい、逆行しているぞ (スコア:0)
それは要するに物理的な「鍵」を持つと言うことだよな。
コピーされたり盗まれたりしたらどうすんの?
「だいじょうぶ、『鍵』にパスワードかけておけばいいでしょ」ってかw
Re:おいおい、逆行しているぞ (スコア:1)
スマホの解除キーくらいのパスワードなら、所有者の負担は少ないのでは?
物理鍵にしておくと、多分盗まれたことに気付くと思う。
盗人からの攻撃に対して、何らかのアクションを打つまでの時間稼ぎ程度の意味で、
鍵にパスワードをかけるのはアリだと思う。
Re: (スコア:0)
アンチパスワードな人たちのお花畑は見るに耐えないよねえ
Re: (スコア:0)
パスワードは忘れることがあるのが最大の問題です。
その対策として簡単なパスワードが使われたり、パスワードを使いまわしたり、
忘れた際の裏口が便利=セキュリティが甘くなったりするのが、今現在の大きな問題でしょう。
Re: (スコア:0)
それでも、#2836113みたいに脆弱性があっても利用者がそれに気づくのが
難しいような仕組みよりはましだと思う。
Re: (スコア:0)
車のキーレスエントリの例は、物理的な鍵であっても、へんにハイテクを使うと、逆に脆弱性が生じたり、脆弱性に利用者や(警察でさえも)気づかなかったりするという問題を示していると思います。
パスワードも、もちろんパスワードそのものを漏らしちゃだめという単純明快なルールが基本ですが、簡単なパスワードだとだめだとか、「簡単」とはどういうものを指すかとか、「ヒント」「秘密の質問」はどう扱うべきかとか、通信経路は大丈夫かとか、キーロガーとか、フィッシングサイトとか、考えだすと難しいですよ。
ふつうの鍵も、ITがからむと、たとえば鍵の写真をブログやSNS等で公開するとまずいとか、難しくなってしまいますが。
Re: (スコア:0)
意味が分からん。鍵はコピーされたり盗まれたりしないように管理し、万一やられたら当然鍵を変えなければならない。
それ以上に何があるのか。
Re:おいおい、逆行しているぞ (スコア:1)
IoTデバイスをキーとして、複数のサービスのアカウントをそのデバイスで管理していたとしたら、
もしそのデバイスを盗まれたら全部のアカウントを一つ一つ手作業で対処していかなくてはならない。
スマートなだけに、「当然鍵を変えなければ」の作業がとんでもない大仕事になってしまう。
何十個も管理していたら、デバイスをなくしたら思い出せないアカウントも出てくるんじゃないの?
アカウントの中にはパスワードの変更にはそのキーデバイスでの認証を要求してきたり、
パスワード変更確認メッセージをキーデバイスに送ってしまい元の木阿弥になったりするところが出てきたりして、
いろいろと楽しいことが起きそうだ。
解決するのと、同じくらいかそれ以上の問題を持ち込みそうに思えるのだけど。
Re: (スコア:0)
物体としての鍵を忘れたり紛失したりする可能性の話だろ。
スマホを鍵としていた時、「家に忘れた」と帰ってドアを開けようとしたら…って奴。
Re: (スコア:0)
捨て垢だの謎サイトだののパスワードとか覚えてられないし
個人認証三種の神器 (スコア:0)
>服や電話、時計、靴といったものがIoTデバイスとして認証され
記事にあるように増えていくだけじゃないですかね。んで消費にも繋がる。
鞄ごとまとめて盗まれると意味ないんで、普段身に着ける物からかな。
Re: (スコア:0)
指紋認証とFelicaチップを内蔵した鍵、かな?
鍵が本人を認証、ドアが鍵を認証して初めてガチャっと開く、みたいな。
二要素認証とは (スコア:0)
Apple Watchは自分の携帯電話とペアリングすることによりパスワードを不要としている。
これだけじゃ一要素認証じゃない?もう一つの要素はなんだろう。
まさかデバイスが二つあるから二要素認証なんて言ってないよね?
Re: (スコア:0)
Apple Watchは、一度腕からはずすとロックがかかり、解除にはパスコードを
http://u-site.jp/alertbox/smartwatch [u-site.jp]
のような小さなテンキーで入力する必要があります。
ポータブルSIMの話は無しか (スコア:0)
古い話だしセキュリティ認証とはちょっとずれるけどポータブルSIM [itmedia.co.jp]の話は出てこないのか。
あちらは複数のデバイスを一つのSIM(回線)で使うための、そのためとしてはあまりスマート
とは言えない(ぉ 認証方法なんだけど、デバイスに対する個人認証としては
タレこみ文の中にもある「ウェアラブルデバイス」の一種とも言えなくも無し。
まあ携帯電話系端末で考えれば、スリープ解除のたびに非接触IC認証するとか想像すると、
現状ある生体認証(指紋・虹彩)のほうがまだ手軽でいいよね~とは思う。
ただ電波を使った単純なデバイス認証は、他のカキコにもある通り車のキーレスエントリーに様に
一方が所有者に気づかれず誰にでもアクセスしやすい環境にある場合に非常に危険であることは実証済み。
こういうのにはポータブルSIM的なものが使えるかも。機構的に生体認証より小型化しやすそうで
車のキーとかに向いてそうだし。
(キーにSIMをかざす(有効距離はほぼ接触)→数秒間だけロック認証がアクティブとか)
車のキーだけに…と考えるかもしれませんが、まあ確かにその通り。
ただ、ポータブルSIMの方が車のキーだけでなく様々な認証に使え「ほぼ常に身に着けているもの」
になればそれは関係なくなるかも。
それまではスマホを使ったNFC認証なんかが使えるかなぁ。
問題は「じゃあそういう社会になったとき、そのポータブルSIMを紛失・盗難となったとき
かなり致命傷になるよねぇ」ってとこでしょうか。
そう考えると十分な強度の認証が設定されている携帯電話系端末がマスターキーになるのが
やっぱ一番妥当なのかなぁ。
#紛失しても遠隔ロックできるし、電源OFF・SIM無し時は認証機能が使えないにしておけば
#悪用は難しくなるから。
#ああ、やっぱそうなるとでかいタッチタイプデバイスじゃなくて小型・薄型の物理キーデバイスこそを
#認証マスターデバイスとして欲しくなるわぁ