パソコンの顔認証はそれほど悪いものじゃない
いま使ってるパソコンが顔認証でログインできるやつなんだよ。で、ちょっと思うところがあって、ためしにスマホで撮った自分の顔をパソコンのカメラの部分にかざしてみたら、見事にログインできよった。これってパスワード認証よりザルなセキュリティじゃないのか
— 草ね (@yamanesi) 2011, 12月 7
バイオメトリクスが認証としては「使えない」ということは自サイトでさんざん言ってきたが,パソコンや携帯端末のロック解除に顔認証を使うのはそれほど悪いものではない。そもそも,そういうものに厳密な「認証(authentication)」は必要ない。その場合に必要なのは「識別(identification)」だからだ。
まず,なぜパスワード認証が危ないかというと,遠隔のリソースにアクセスする際にお互いに秘密情報を共有しなければならないからだ。この場合,攻撃者は2点のノードとその間の経路の合計3箇所を攻めることができる。でも同じパスワード認証でもパソコンや携帯端末の場合は秘密情報を持ってるのはユーザ自身(とそのマシン)だけだ。もちろんマシンが遠隔操作可能なら話は別だが。そういう心配がないなら,逆にパスワードより簡単な方法でも構わないのである。顔認証もそういったもののひとつだ。むしろ携帯端末の場合は盗難や紛失にあった際に,いかに迅速に端末を無効化できるかが重要だったりする。
余談だが昔,高級車のドアに指紋認証機能を付けたところ,その車のオーナは指を切られて車も盗まれたそうだ。海外の話だけどね。バイオメトリクスってそういうものなんだよ。まぁ(安全と言われる)日本では他人の指を切ってまで窃盗する人はあまりいないと思うけど。メトリクス情報さえ奪えばいくらでもなりすましは可能なものなの。
参考: