俺はまぁラディカルというか原理主義者なので、本人確認なんてものはID+パスワードでいいと思っているわけ。
でも割とよく世間では、ID+パスだけだと本人の確認になっていないとか言うアホ理論がまかり通っていて、そんなわけねーだろということを証明します。
他要素認証を使えば本人確認になる、という説がまことしやかにまかり通っているけど、そんなのじゃ「本人確認」にはなりません。
例えばメジャーなスマホを使った確認を例に取ると、ID+パス入力だけじゃなく、事前登録したスマホに入っている暗号アプリで、自動生成した暗号を入力すると、ID+パス+スマホの所持が揃ったので本人です。って感じで認証するんだけど、これスマホ奪われてたら誰でもできるよな。
確率低い?とはいえ本人意外もできるっていう点だと、ID+パスワードと同じで「本人を確認」したことにはならんだろう。
同じことはEメールへワンタイムパスワードを送付して、ID+パスワード+ワンタイムパスワードで認証する方法もだけど、これも、メールアドレスの権利を確認してるだけど、それが奪われていたら、本人以外でも利用できる。
事前に物理的な乱数表もドングルもマイナンバーカードつかった認証も、奪われれば本人以外が認証突破できるので、「本人確認」できるとは限らない。
ID+パスワードより強度は上がるけど、それは認証の強度が上がったと言うべきであり「本人確認」できるとか、いいきっちゃうのは、本質を知らないで適当にセキュリティ語ってて、だるい。
じゃあ生体認証使えば良いという。感じもするかもしれないけど、指紋のコピーとか簡単にできます。
顔認証も難しいかもしれないけど頑張れば突破できそうだし、何なら本人の指やら首を切り落とせば、突破できると思うので、これも「本人確認」したことになるとは限らない。双子とかクローン使うこともできるしな。
例えば友人とか、本人の許可を得て代理としてシステムやサービスを操作する必要がある場面ってあるわけで、
そういう場面だとID+パスワードだけ知っていれば代理操作をすることができるわけです。
あ、お前らは友達居なかったな。でも大丈夫、ボットサービスとかに代理に処理をしてもらうことを考えれば同じで、
ボットサービスに操作してもらいたいサービスのID+パスを登録すれば、それだけで代理に操作してもらえる。
これが、多要素認証になると、代理操作出来ないくなる。「本人」が操作を代理させる意志をもっていても、端末を友達に貸し与えて四六時中持ち歩かせるわけにもいかないし、よくわからねーボットサービスに指紋情報やら、生体認証を登録するのやりすぎてる。
セキュリティ上がってるとか喜んでるけど、それは裏を返せば使い勝手が下がっているとも言えるわけです。
そこまで使い勝手が下がってて、じゃあそれに報いるだけのセキュリティ上昇が期待できるかと言われれば、前述のように本気を出せば他人がそのセキュリティを突破することはできるわけで、基本的にはコスパ悪い。
もちろん医療とか金融とかクリティカルな場面では使うべきだと思うけど、何でもかんでも多要素認証、生体認証、みたいなノリは気が狂ってるとしか言いようがない。
あとセキュリティが上がっているだけで「本人確認」ではない。ボットにスマホを預けるとかメールを読み取る権利を渡せば実現できる。くっそめんどくさいし危険だけどできる。本人意外が操作できるってことは「本人確認」として機能していない証拠です。
はい、出来ません。限りなく本人っぽいです。ということまでしかわかりません。
仮に対面で人間が認証するって事になっても、詐欺師の人は整形もすれば書類も偽造で取り揃えます。
軽々しく「本人確認」とか言うな。本人って誰が判定するんだよ。まわりか?
まわりが勝手に「本人」であることを認証したり確認したとしてだよ、その「本人」が記憶喪失になって、「本人」であることを拒絶したのならそいつは本人なのか?それとも別人か?
答えろ!
大臣承認文書、偽造疑い 海自調達で不正、告発―防衛装備庁 https://www.jiji.com/jc/article?k=2020100701173&g=soc 部品調達に関する随意契約の大臣承認手続きで、9件の公文書が決裁を得たよう...
この世間における「本人確認」って「限りなく本人っぽいです」の意味でしか言われてないだろ。
本人確認とセキュアな認証を一緒くたにして語るのはいかがなものかと。本人確認には運転免許証やパスポートを用いるべきだと思うが…
本人である確率を高める行為が本人確認であって レアケースで偽装できるから無意味って 0/1でしかもの考えられないアホの典型じゃん
ID+パスワードだけだと、ドコモ口座詐欺のような総当たり攻撃に対処できないじゃん
例えば友人とか、本人の許可を得て代理としてシステムやサービスを操作する必要がある場面ってあるわけで、 そういう場面だとID+パスワードだけ知っていれば代理操作をすることが...
ゲームとかは別に代理でもかまわんやろ
利用規約でたいてい禁止されてる
それはしょせん、民事の話しだよねぇ?
刑事なんだよなぁ。書類送検された実例もあるぞ 『オンラインゲームへの不正アクセスで高校生が書類送検』 https://www.is702.jp/news/157/
不正アクセス禁止法をしらんのか? オンラインゲームの不正ログインでも逮捕された実例があるんやぞ
本人の同意があれば別に不正ではないやろが
利用規約で認められてないからだめだぞ。認められてるってんなら、そのゲームのタイトルを教えてくれ
リアルな世界でも第三者に本人確認突破されるケースもあるんだから、「本人らしさ」を測る技術とメソッドを可能な限り高度化してくしかないでしょうよ 突破されるリスクを持って本...
オンラインサービスにおける本人確認(身元確認/当人認証)のフレームワークは経産省が示していたと思うよ。 本人確認は古物営業法とか風営法とかの法律で義務付けられてるんだよね...
こういう アスペは 話に 混ざるな!