■なぜ、本人確認にこだわるのか

俺はまぁラディカルというか原理主義者なので、本人確認なんてものはID+パスワードでいいと思っているわけ。

でも割とよく世間では、ID+パスだけだと本人の確認になっていないとか言うアホ理論がまかり通っていて、そんなわけねーだろということを証明します。

多要素認証

他要素認証を使えば本人確認になる、という説がまことしやかにまかり通っているけど、そんなのじゃ「本人確認」にはなりません。

例えばメジャーなスマホを使った確認を例に取ると、ID+パス入力だけじゃなく、事前登録したスマホに入っている暗号アプリで、自動生成した暗号を入力すると、ID+パス+スマホの所持が揃ったので本人です。って感じで認証するんだけど、これスマホ奪われてたら誰でもできるよな。

確率低い？とはいえ本人意外もできるっていう点だと、ID+パスワードと同じで「本人を確認」したことにはならんだろう。

同じことはEメールへワンタイムパスワードを送付して、ID+パスワード+ワンタイムパスワードで認証する方法もだけど、これも、メールアドレスの権利を確認してるだけど、それが奪われていたら、本人以外でも利用できる。

事前に物理的な乱数表もドングルもマイナンバーカードつかった認証も、奪われれば本人以外が認証突破できるので、「本人確認」できるとは限らない。

ID+パスワードより強度は上がるけど、それは認証の強度が上がったと言うべきであり「本人確認」できるとか、いいきっちゃうのは、本質を知らないで適当にセキュリティ語ってて、だるい。

生体認証

じゃあ生体認証使えば良いという。感じもするかもしれないけど、指紋のコピーとか簡単にできます。

顔認証も難しいかもしれないけど頑張れば突破できそうだし、何なら本人の指やら首を切り落とせば、突破できると思うので、これも「本人確認」したことになるとは限らない。双子とかクローン使うこともできるしな。

代理の問題

例えば友人とか、本人の許可を得て代理としてシステムやサービスを操作する必要がある場面ってあるわけで、

そういう場面だとID+パスワードだけ知っていれば代理操作をすることができるわけです。

あ、お前らは友達居なかったな。でも大丈夫、ボットサービスとかに代理に処理をしてもらうことを考えれば同じで、

ボットサービスに操作してもらいたいサービスのID+パスを登録すれば、それだけで代理に操作してもらえる。

これが、多要素認証になると、代理操作出来ないくなる。「本人」が操作を代理させる意志をもっていても、端末を友達に貸し与えて四六時中持ち歩かせるわけにもいかないし、よくわからねーボットサービスに指紋情報やら、生体認証を登録するのやりすぎてる。

セキュリティ上がってるとか喜んでるけど、それは裏を返せば使い勝手が下がっているとも言えるわけです。

そこまで使い勝手が下がってて、じゃあそれに報いるだけのセキュリティ上昇が期待できるかと言われれば、前述のように本気を出せば他人がそのセキュリティを突破することはできるわけで、基本的にはコスパ悪い。

もちろん医療とか金融とかクリティカルな場面では使うべきだと思うけど、何でもかんでも多要素認証、生体認証、みたいなノリは気が狂ってるとしか言いようがない。

あとセキュリティが上がっているだけで「本人確認」ではない。ボットにスマホを預けるとかメールを読み取る権利を渡せば実現できる。くっそめんどくさいし危険だけどできる。本人意外が操作できるってことは「本人確認」として機能していない証拠です。

本人確認は出来ないのか？

はい、出来ません。限りなく本人っぽいです。ということまでしかわかりません。

仮に対面で人間が認証するって事になっても、詐欺師の人は整形もすれば書類も偽造で取り揃えます。

なので、本人確認は基本的に無理です。

軽々しく「本人確認」とか言うな。本人って誰が判定するんだよ。まわりか？

まわりが勝手に「本人」であることを認証したり確認したとしてだよ、その「本人」が記憶喪失になって、「本人」であることを拒絶したのならそいつは本人なのか？それとも別人か？

答えろ！

Permalink | 記事への反応(9) | 14:20

ツイートシェア