生体認証と二要素認証が疑問視される理由
以前のエントリー「全銀協:偽造カード被害を銀行が補償する方針を決定」で
米国では最近、生体認証や二要素認証の導入については疑問視する論調が主流。
と書いたところ、具体的にどういう理由によるものかという質問を受けたので補足する。
生体認証については、日本国内ではグミ指による認証対象の物理複製による攻撃が有名であるが、物理複製に加え認証処理に使用する電子データが複製された場合も含め、認証対象物を変更することができないことが問題視されている。つまり、生体情報はパスワードのように一旦漏洩したとしても取り替えることができないということが実用上の最大の問題となる。
また、二要素認証に関しては攻撃手法のトレンドとしてMan-in-the-Middleやトロイが広く用いられるようになってきているために、パスワード+ワンタイムトークンなど二要素を用いたとしても、認証情報だけをバイパスさせトランザクションを改ざんすることができてしまうことが問題とされる。オンラインバンキングのために二要素認証を導入するのは金の無駄遣いとまで言われている。
攻撃の敷居を高めるという意味で全く無駄ということにはならないと思うが・・・。
■全銀協:偽造カード被害を銀行が補償する方針を決定
http://motivate.jp/archives/2005/03/post_34.html
■モバイル機器の指紋認証デバイスに頼ってはいけない(崎山伸夫のBlog)
http://blog.sakichan.org/ja/index.php/2005/03/05/dont_trust_mobile_biometrics
■The Failure of Two-Factor Authentication(Schneir on Security/Communications of the ACM)
http://www.schneier.com/blog/archives/2005/03/the_failure_of.html
■Banks ‘wasting millions’ on two-factor authentication(SecurityFocus)
http://www.securityfocus.com/news/10694
ご丁寧にご回答ありがとうございます。
生体認証については理解させるのもできるとは思いますが、二要素認証に関する、Man-in-the-middle、トロイの部分を広く理解してもらうのは、それなりに難しそうですね。
どうしても、米国先行で動いてしまうセキュリティの世界ですので、このブログの情報は、非常に有用です!
今後も楽しく読ませていただきます。
はたぼ。さん。ブログについてのコメントありがとうございます。反応があるとこちらも励みになりますので、今後とも何かありましたら発言をお願いします。
随分と時間が経ってからのご質問で恐縮ですが、ワンタイム・パスワードの有効時間を短かくし、同一パスワードの繰り返し利用を銀行側システムで排除すれば問題ないように考えますが、これは誤りでしょうか。
(生体認証についてのご指摘は、よく分かります。)
よろしければ、お考えをお聞かせください。
ますださん、はじめまして。
この指摘はパスワードの繰り返し利用による攻撃(Replay-Attack)に関する問題ではなくて、中間者攻撃(Man-In-The-Middle Attack)に関する危険性に関するものです。つまりフィッシングなどによって本物そっくりの銀行の偽サイトに利用者を誘導し、ここにIDとパスワードを入力させる。偽サイトはユーザから受け取ったIDとパスワードを裏で本物のサイトに送るというようなことをすれば、本来ユーザが送金しようと思った金額と送金先を書き換え自分の口座に振り込ませたりすることができてしまいます。
武田様、お忙しいなか早速のご回答、本当にありがとうございます。中間者攻撃の意味がよく分かりました。
そこで、追加のご質問ですが、ワンタイムパスワードの有効時間が仮に1分の場合、中間者は、送信者から情報を取って、1分以内に書き換えて銀行に送信をしなければならないことになりますが、こうしたことは現実的なのでしょうか。
また、WINDOWSでは、(サービス当初に手続きを行えば)端末認証のような機能があると聞きますが、こうしたものを併用した場合、中間者攻撃は相当程度阻止出来るのではないでしょうか。
お考えをお聞かせ頂ければ、幸いです。
ワンタイムパスワードの有効時間をあまり短くすると、その時間ごとに正規の利用者が入力すべき内容が変化することになります。おそらくタイプしている間にパスワードが変わったり入力して送信したものがサーバに届くまでに無効になってしまうのであまり実用的ではないのではないでしょうか?(1分ぐらいなら無理ではないと思いますが)ただ、いくら短くしたところで、中間者攻撃自体は人力ではなくプロキシのようなプログラムで行われるため、処理に必要な時間は人間のタイプに必要な時間よりもずっと短いのでこの有効時間自体はあまり影響しないと思われます。
端末認証はベリサイン等から鍵を購入することで可能です。ただ、今回の例ではサーバ側の認証が問題となりますので通常のSSLサーバ認証をきちんと行っていれば、端末認証まで行う必要はあまりないかと思われます。
ご回答ありがとうございました。
しっかり勉強してまいりたいと思います。