- PR -

ID,PASSWORD を必要としない認証

投稿者投稿内容
zanjibar
ぬし
会議室デビュー日: 2001/10/30
投稿数: 309
投稿日時: 2002-11-03 10:14
USB キー(ikey,etoken,epass) の開発者のためのサイトをぼちぼち
つくるつもりなのですが、関心もっている人は、いるのでしょうか?
とりあえず、epass1000 を、ヤフーオークションに出しておいて、
人集めはしているのですが、道は遠いです。
zanjibar
ぬし
会議室デビュー日: 2001/10/30
投稿数: 309
投稿日時: 2002-12-27 00:17
十条電子から、新しいUSBキーがでたようですね。
http://www.dnp.co.jp/jis/news/2002/20021211.html
実際に使っているところはあるのでしょうか?
どんちゃん
常連さん
会議室デビュー日: 2003/01/07
投稿数: 30
投稿日時: 2003-01-07 14:08
> zanjibarさんの書き込み (2002-12-27 00:17) より:
> 十条電子から、新しいUSBキーがでたようですね。
> http://www.dnp.co.jp/jis/news/2002/20021211.html
> 実際に使っているところはあるのでしょうか?

ePass1000もまだまだな状況ですのでダメでしょうね。
所有物認証+知識認証(Token + PIN)で認証できるの
ですからePass1000で十分な気がしていますが。
yuu
大ベテラン
会議室デビュー日: 2002/06/12
投稿数: 152
お住まい・勤務地: 美味しいケーキ店のそば
投稿日時: 2003-01-07 15:47
昔、バイオメトリックス認証の会社にいた事があります。
バイオメトリックス認証が確実にできれば確かに素晴らしいのですが 現実的には 本人を本人と100%みとめ、他人を100%排除できるものは無いと思います・・・

バイオメトリックス認証装置のコストは方式によりますが、昔いた会社はタブレットの上に書いたサインの筆跡(形、動き。。。)を認証していたので、コストはタブレット代なので その当時は 音声についで安かったと思います。
今は 指紋の認識装置も安くなっていると思います。ただ指紋は 老人、手を酷使するような仕事に就かれてる方の場合、薄くなって 認識できない場合があります。

あとバイオ認証の面白いところは、毎回 ぶれ があるので 100% 同じデータが送られて来た場合は、逆に怪しいとして リトライ させる事により、 盗まれたデータでの認証を防ぐ事が出来ます。。。

実際にどうなったかわかりませんが、シンガポールとかではICカードを使って個人を認証する 国家プロジェクトがあったようです・・・ この場合も、通常はカードだけで認証し、より厳密性が求められる場合は バイオと組み合わすという話だったと思います。


私個人としては、あんまり認証用のハードは持ちたくないです。もし持つならカードみたいなもので、それ1枚で 全てが認証できるのが良いです
どんちゃん
常連さん
会議室デビュー日: 2003/01/07
投稿数: 30
投稿日時: 2003-01-07 16:50
認証にHWを導入する時点でICカードやバイオ系は
受け入れられないと思います。
認証もITリテラシーに合わせてレベル付けで導入
しないとユーザーが付いてこれないですね。
一般社員はUSBで、それ以外の管理職の方々はIC
カードやバイオメトリクスですかね。でもこういう方々
はITには明るくないので教育がかなり必要でしょうね。

いつも思うのですが、技術だけでもセキュリティレベル
をある程度高めることは可能ですが、やはり道具を使い
こなすHRに問題が多々発生しますので、ISMSなど
のセキュリティマネジメントをきちんと整備しておく事
は言うまでもないと思います。

セキュリティポリシの作成や遵守には時間掛かりますが
これをきっちりやれないと認証基盤を導入しても意味の
無い投資になってしまいます。
逆にポリシーを遵守できる会社であれば、UID/PWDでも
きちんと運用できセキュリティレベルは保たれますね。
zanjibar
ぬし
会議室デビュー日: 2001/10/30
投稿数: 309
投稿日時: 2003-01-08 10:59
セキュリティポリシーはどうやって決めるのがいいのでしょう
か?。会議で決めるのでしょうけど、結構めんどうです。

あるシステムハウスの人に聞いた話ですが、となるPOSシステム開発で、
なんと不正をしやすいような仕様にして担当者が開発を依頼したそうです。
勿論、担当者は、不正をしたそうです。ばれて、首になりましたけど、
こういう場合、どうするのがいいのでしょうね。

引用:

どんちゃんさんの書き込み (2003-01-07 16:50) より:

セキュリティポリシの作成や遵守には時間掛かりますが
これをきっちりやれないと認証基盤を導入しても意味の
無い投資になってしまいます。
逆にポリシーを遵守できる会社であれば、UID/PWDでも
きちんと運用できセキュリティレベルは保たれますね。


七味唐辛子
ぬし
会議室デビュー日: 2001/12/25
投稿数: 660
投稿日時: 2003-01-08 11:29
引用:

zanjibarさんの書き込み (2003-01-08 10:59) より:
セキュリティポリシーはどうやって決めるのがいいのでしょう
か?。会議で決めるのでしょうけど、結構めんどうです。

あるシステムハウスの人に聞いた話ですが、となるPOSシステム開発で、
なんと不正をしやすいような仕様にして担当者が開発を依頼したそうです。
勿論、担当者は、不正をしたそうです。ばれて、首になりましたけど、
こういう場合、どうするのがいいのでしょうね。



この辺をたたき代にしてみては、どうでしょう。
http://www.kantei.go.jp/jp/it/security/

二つ目ほうは 首にします(笑)
セキュリティポリシー以前の問題ですよね。
バックドアは ある程度は仕方ないけど、悪用は悪いですよ。


らきゅ
常連さん
会議室デビュー日: 2002/11/08
投稿数: 20
投稿日時: 2003-01-08 11:35
新米メンバーのらきゅです、こんにちは

もし仮に「USBからの情報を特定のアドレスへ送る」といったバックドア系ウィルスが
あったとして、感染したマシンで指紋認証系のトークンとかを使った場合、
その人の指紋データを盗めたりとかしてしまうんでしょうかね?

指紋認証やUSBに限った話では無いのですがバイオ系といえどコンピュータの上では
デジタルデータに過ぎない以上、「認証」という技術はあくまで
「ウィルス等に対しての対策が万全である」事の上に成り立つのかな…と思ったもので。

引用:

zanjibarさんの書き込み (2003-01-08 10:59) より:
なんと不正をしやすいような仕様にして担当者が開発を依頼したそうです。
勿論、担当者は、不正をしたそうです。ばれて、首になりましたけど、
こういう場合、どうするのがいいのでしょうね。


そもそもそういう人間を担当者にしてしまっている事が問題なのでないかと…(^^;)

セキュリティポリシーに限ったことではないでしょうけどやっぱり
面倒な会議を避ける事は出来ないのではないかと思います。

スキルアップ/キャリアアップ(JOB@IT)