生体認証セキュリティ–パスワードなしの認証または流行の鍵?

公開: 2022-03-11

パスワードなしの認証は何年もの間セキュリティの聖杯でしたが、進歩は痛々しいほど遅いものでした。 これは、大きな進歩が見られなかったことを意味するものではありませんが、残念ながら、これらの開発のほとんどは、研究所や専門家のニッチに追いやられています。 数年前まで、パスワードなしの認証を大規模に実装するテクノロジーは利用できませんでした。

バイオメトリクスとバイオメトリクスセキュリティ

しかし、業界の巨人はゆっくりとしかし確実にこれを変えています。 考慮すべき技術的、法的、さらには倫理的な考慮事項がいくつかありますが、それでも、生体認証のセキュリティとパスワードなしの認証はここにとどまります。

バイオメトリクスはすでにゲームを変えており、今後もそうしていきます。

そもそもなぜ無言になるのか?

これはエンジニアリングブログなので、セキュリティを重視する開発者のグループに高速ログインの利点を説明する必要はないと思います。 私たちは消費者の視点から問題を見る必要はありません。私たち全員が無数のオンラインサービスと増え続けるデバイスを使用せざるを得ません。 これはすぐに変わることはなく、どちらかといえば、ログインする必要のあるサービスとデバイスの数は増え続けるでしょう。

もちろん、生体認証など、パスワードを不要にする方法はたくさんあります。 ユーザーの観点からは、Google、Microsoft、Facebookのアカウントを使用してサードパーティのサービスにログインできます。これは、ユーザーがパスワードの肥大化を回避でき、すべてのサービスとデバイスのアカウントを作成する必要がないためです。

OAuthとOpenIDは、デジタルIDを統合するために何年にもわたって使用されており、この標準は、テクノロジー業界の大手企業の一部に採用されています。

技術的には、これは実際にはパスワードなしのアプローチではありませんが、平均的なユーザーにはその違いがわからない場合があります。

このアプローチを使用することの長所と短所は次のとおりです。

長所:

  • 快適
  • 実装が簡単
  • 優れたセキュリティ
  • ブランド名安心

短所:

  • 一元化されたサービスへの依存
  • 1つのバスケット内のすべての卵– 1つのアカウントを危険にさらすことにより、攻撃者は他のアカウントにアクセスできます
  • あなたの制御を超えた潜在的なセキュリティの脆弱性は、あなたに対して使用される可能性があります
  • 人々はプライバシーの懸念のためにそのようなサービスを使用することを躊躇するかもしれません

これの多くは代替ソリューションにも当てはまりますが、通常は消費者ではなくビジネスユーザーに追いやられるセキュリティ証明書には適用されません。 長所は短所を上回っているため、既存のアカウントを使用して、すでに無数のサードパーティサービスにログインできます。

バイオメトリクスとバイオメトリクスセキュリティはどのように役立ちますか?

生体認証システムを使用すると、多くの問題に対処できます。 一元化されたサービスに依存することはなく、プライバシーは問題ではなく、ユーザーエクスペリエンスが損なわれることはありません-それが正しく行われていれば。 それでは、長所と短所を見てみましょう。

長所:

  • 指紋スキャンは迅速、安価、そして比較的安全です
  • 音声認識は使いやすく、操作が難しい
  • 虹彩スキャンは非常に安全で、指紋スキャンよりも便利な可能性があります
  • 心電図技術は「常時オン」認証を提供します
  • すべての生体認証セキュリティ方法は、優れたセキュリティを提供しながらプライバシーの懸念に対処します

短所:

  • バイオメトリクスはすべてのアプリケーションに適しているわけではありません
  • 生体認証セキュリティを導入するコストは、多くの場合法外です
  • サポートは特定のプラットフォームに限定されており、ほとんどのプラットフォームでは利用できません
  • 一部のテクノロジーはまだ未成熟です
  • バイオメトリクスは特効薬ではありません–セキュリティは依然として危険にさらされる可能性があります

バイオメトリクスは新しい概念でも新しい技術でもありません。 生体認証セキュリティは、何十年にもわたって多くの業界で使用されており、ハリウッドの脚本家の定番となっています。 多くの読者が何年も前にノートブックで顔認識と指紋スキャナーを試してみる機会があったと確信しています。私はそうしましたし、感動しなかったことも知っています。 これらの初期の解決策のほとんどは安価な仕掛けでした。

しかし、それ以来、私たちは長い道のりを歩んできました。 非常に優れた画像センサーとともに、より多くの処理能力が利用可能であり、すべてがますます洗練されたソフトウェアによって支えられています。 これが、これらのテクノロジーのいくつかが復活を遂げている理由です。

業界は指紋スキャナーに親指をあきらめる

AppleのTouchIDは、おそらく市場で最も認知されている指紋認証ソリューションですが、それだけではありません。 AppleはiOS8でサードパーティの開発者にTouchIDを公開し、新しいiPhoneとiPad、およびApplePayサービスにテクノロジーを統合しました。

これが、iOSがAndroidや他のプラットフォームよりも明らかにリードしている理由です。 クパチーノがより良いものを思い付くまで、すべての新しいiPhoneとiPadにはTouchIDが付属しています。

指紋生体認証セキュリティ

これは、指紋スキャナーを搭載したAndroidスマートフォンが増えているため、Androidを償却する必要があるという意味ではありません。 最初の生体認証デバイスは、ユーザーがスキャナー上で指をスワイプする必要がある小さなスキャナーを備えていましたが、Appleと同様のタッチスキャンユニットがますます一般的になっています。 この機能は高価な中核製品用に予約されていないことに注意することが重要です。中国のベンダーが販売している約200ドルの電話でさえ、このようなスキャナーを備えています。

ただし、まだ考慮事項があります。 Googleは指紋スキャナーをNexusデバイスに統合していませんが、元々はNexus6スマートフォンに指紋スキャナーを含めることを意図していたと噂されています。 実際、Android Open Source Project(AOSP)は、指紋サポートがデバイスから削除されたという証拠を提供しました。 これはAndroid開発者にとって朗報ではありません。Googleは通常、Nexusデバイスで新しいテクノロジーを紹介し、NexusSのNFCサポートやGalaxyNexusの気圧センサーの場合のようにドキュメントとAPIをフォローアップします。

それでも、これはベンダーがいくつかのタイプのスキャナーで独自のコードを使用することを妨げませんでした。 しかし、断片化を排除し、相互運用性を保証する標準がないため、これは手をつないでいる開発者にとっては悪いニュースです。 Samsungは、開発者がPass APIを試してみることができるようにすることで問題を克服しようとしましたが、これはまだ理想的なソリューションではありません。 Motorolaは、4年前に古いAtrixデバイスで同じことを試みました。

多くのハードウェアメーカーと開発者も、開発者がさまざまな指紋スキャナーのサポートを統合できるようにするSDKをリリースしましたが、断片化を削減または排除する標準化された環境の欠如は依然として大きな問題です。

ほとんどの電話で指紋スキャナーが表示されるまでにはしばらく時間がかかる場合がありますが、多くの進歩が見られます。 数年の間に、フラッグシップ電話のスキャナーがない状態から、200ドルの電話の比較的信頼性の高いスキャナーに移行しました。

指紋スキャナー

しかし、それらはどれほど役に立ちますか? それらは、古いノートブックの第1世代指紋スキャナーのような仕掛けにすぎませんか?

技術は機能します、それについては疑いの余地はありませんが、当分の間、アプリケーションは限られています。 ソフトウェア開発はハードウェアに追いつく必要があり、そのようなソリューションを使用できるより多くのサービスが必要であり、業界のリーダー(つまり、Google)からのより多くのAPIと標準およびガイドラインが必要です。 この時点で、多くのAndroidデバイスの指紋スキャナー仕掛けであり、それ以上のものではありません。

全体として、指紋スキャナーは便利ですが、理想的なソリューションではありません。 すべての指紋は一意ですが、セキュリティ上の懸念がいくつかあります。 多くのスキャナーはだまされる可能性がありますが、単純な画像でこれを実行することはますます困難になっています。 あるセキュリティ専門家が数年前に指摘したように、3D印刷や、これを行うためのいくつかの病的な方法など、代替手段があります。

言うまでもなく、手袋をしたり、親指を負傷したり、その他の極端な状況で指紋リーダーを使用することはできません。 しかし、これらは比較的小さな欠点です。

マイクロソフトはあなたの目を見てみたい

それでは、要約しましょう。 AndroidとiOSは、生体認証セキュリティのために指紋スキャナーをすでに使用できますが、現在は十分に活用されていません。 しかし、デスクトップ環境はどうですか? 電話のロックを解除し、生体認証を使用して支払いを認証することはできますが、それでもデスクトップで作業しているので、本当にパスワードなしにするのはどうでしょうか。

Microsoftは最近WindowsHelloを発表しました。見逃した場合は、公式のWindowsブログでこのイニシアチブの包括的な概要を確認してください。

これは、MicrosoftがWindowsHelloのビジョンを説明する方法です。

Windows 10は、パスワードのような共有または共有可能なシークレットを使用する代わりに、パスワードを送信することなく、ユーザーに代わってアプリケーション、Webサイト、およびネットワークに対して安全に認証するのに役立ちます。 したがって、ハッカーが潜在的に侵害するためにサーバーに保存されている共有パスワードはありません。

Windows 10は、生体認証センサーを備えたデバイスではPINまたはWindows Helloを使用して、デバイスを認証する前に、デバイスを所有していることを確認するように求めます。 「パスポート」で認証されると、お気に入りのコマースサイト、電子メールおよびソーシャルネットワーキングサービス、金融機関、ビジネスネットワークなど、さまざまな業界で増え続ける一連のWebサイトやサービスに即座にアクセスできるようになります。_

Windows Helloは、指紋スキャン、虹彩スキャン、または顔認識を使用して、ユーザーがWindows10デバイスに即座にアクセスできるようにする生体認証システムです。 Microsoftは、「たくさんの」新しいWindows10デバイスがWindowsHelloをサポートすると言っていますが、個人的には、1つの手法が特に興味深いと思います。

虹彩スキャンは、Microsoftがサポートする方法の1つであり、他の方法に比べていくつかの利点があります。 指紋スキャンよりも信頼性が高く、潜在的に便利なはずです。 ご参考までに、これは当社のWebカメラや電話カメラでは処理されません。Microsoftは、システムに勝てないように「特別なハードウェアとソフトウェアの組み合わせ」を使用したいと考えています。

虹彩スキャンとバイオメトリクス

虹彩スキャナーは、赤外線技術(潜在的には近赤外線)に依存します。 これは、すべての照明条件で動作し、色付きのメガネであっても、メガネを通して虹彩を見ることができることを意味します。 ハードウェア設計者は、スキャナーを統合するためにデバイスに多くのスペースを確保する必要はありません。 これは、携帯電話のセルフィーカムのすぐ隣に統合することも、今日の多くのオフィスマシンで使用されているスタンドアロンのWebカメラに追加することもできます。 これは、既存のデスクトップPCに簡単に後付けできることを意味します。

マイクロソフトは、赤外線スキャナーの他に、Intel RealSenseカメラテクノロジーに依存して、顔認識などの従来の生体認証セキュリティ対策も使用します。 これは、特にユーザーがIntelプラットフォームに基づく新しいノートブックやハイブリッドにアップグレードするときに、WindowsHelloをより多作にするのに役立つはずです。

モバイルの面では、虹彩スキャンには指紋認証に比べていくつかの利点があります。 それは手袋で動作することができ、虹彩の怪我は親指の怪我よりもはるかに一般的ではなく、指紋スキャナーよりも消費者向けの虹彩スキャナーを打ち負かすのははるかに難しいはずです。

マイクロソフトのアプローチには別の角度があります。ソフトウェアの巨人はユーザーの生体認証データを保存しません。 生体認証署名はデバイス上でローカルに保護され、ユーザー以外の誰とも共有されません。 署名はデバイスとパスポートのロックを解除するためにのみ使用されるため、ネットワークを介したユーザーの認証には使用されません。

陪審員はまだマイクロソフトのバイオメトリクス計画に参加しておらず、Windows10が実際に動作するのを待つ必要があります。

常時認証についてはどうですか?

これらのテクノロジーはすべて、従来のパスワードを置き換えるのに適しているかもしれませんが、エンジニアにもっと自由を与えることができる新しい概念があります。 パスワードや指紋スキャンを一切行わずに、プロセスを完全に省くことができたらどうでしょうか。

「常時認証」は次のフロンティアであり、そこに到達するためのいくつかの方法がすでに提案されています。 ただし、重要な区別をする必要があります。 常時接続認証とは、通常、「常時接続」SSL認証、SHH接続、NFC資格情報、およびさまざまなネットワーク技術のシステムなど、マシン間認証を指します。 これらは通常、金融取引を監視および認証するために開発されているため、オンライン詐欺のリスクを軽減します。

常時オンのユーザー認証のソリューションは比較的少ないです。 そのような例の1つは、BionymのNymiリストバンドです。 これは、平均的なフィットネストラッカーによく似たウェアラブルデバイスですが、それよりも賢いです。

常に認証中

Nymiは、ユーザー固有の心電図(ECG)をスキャンします。 つまり、常時認証を提供するには、デバイスを手首に置くだけで済みます。 心臓が鼓動し続ける限り、ログインします。

AppleWatchやAndroidWearの時計で同じトリックを試すことを考えているなら、馬を抱きしめてください。私たちはまだそこにいません。 Nymiは、スマートウォッチのようにユーザーの心拍数を追跡するだけでなく、より感度の高いセンサーを使用するユーザーのECG波の形状を実際に分析します。 スマートウォッチは、このアプリケーションにとって理想的なハードウェアプラットフォームのように聞こえ、遅かれ早かれ、同じことを実行できるようになります。

そこにいて脈を打つだけで、電話、車、オフィス、コンピューターのロックを解除することを想像してみてください。 任意のアカウントにシームレスにログインし、昼食の支払い、帰りの買い物、ATMからの現金の引き出しなど、すべて食料品やクレジットカードを操作する必要はありません。 私たちはまだそこにいませんが、ゆっくりとそこに到達しています。

これはすべて、ソフトウェア開発者とユーザーにとって何を意味しますか?

当面の間、ソフトウェア開発者は既成のミドルウェアとトークン化を使用して、無言のソリューションを展開できます。 そのような例の1つは、Node.jsおよびExpress用のトークンベースのオープンソースフレームワークであるPasswordlessです。 展開方法に興味がある場合は、Mozillaにそれを説明する包括的なブログ投稿があります。

しばらく時間がかかりますが、生体認証の構成要素は徐々に適切な位置に落ちています。 パスワードレステクノロジーの現在の収穫は増強され、最終的には生体認証に置き換えられます。

私の同僚の多くを含む多くの生体認証のセキュリティ懐疑論者は、これがすぐに起こるとは信じていませんが、私は手に負えない楽観主義者です。 パスワードなしのセキュリティは10年の終わりまでに標準になると思います。そのため、ソフトウェアであれハードウェアであれ、特定の1つの分野を観察するだけで、生体認証に関する無数の問題が見つかります。その多くはすでに概説しました。 ただし、少し前に戻って全体像を見ると、新しい業界のトレンドと、個人および企業のセキュリティ、広く公表されているセキュリティ違反、プライバシーの懸念がますます重要視されていることを見ると、別の視点。

それでも、部屋の中の象はプライバシーやB2Bセキュリティではなく、モバイル決済です。

米国でのモバイル取引の量は、今年は2倍以上の100億ドルになると予想されています。 ブルームバーグは2018年までに、その量が1,100億ドルに達すると予想しています。 一人当たりベースで、平均的なアメリカの消費者は今年、約30ドルの取引を行いますが、2018年までに、その数は、すべての男性、女性、子供について、一人当たり330ドルに達するでしょう。 2019年と2020年の年平均成長率が同じであると仮定すると、2021年までに1人あたり4桁になる可能性があります。

そのようなお金を使って、あなたはどう思いますか?