Mastercard は、PIN 入力に代わるより便利な手段を提供することを目的として、指紋センサーを統合したカードをテストしていると伝えられています。ただし、Apple Pay とは異なり、このカードには一連の重要なセキュリティ機能が欠けています。
あ報告チャーリン・ロウ著エンガジェット新しい生体認証カードは現在南アフリカでテストされており、マスターカードは2017年末までに世界中で導入したいと考えていると述べた。
ロー氏は、「私たちの指紋は、電話、ドア、金庫のロックを解除する主要な手段として、急速に PIN やパスワードに取って代わりつつある」と主張し、「指紋は便利でユニークであり、最終的には簡単に推測されたり偽造されたりするパスワードや署名よりも安全です。指紋センサーがクレジットカードやデビットカードを保護するために登場するのは当然です。」
ただし、すべての指紋センサーは同じではありません。 Low 氏は、Mastercard の導入には「登録センター」への移動が必要であり、ユーザーはそこで (自分の) 1 つまたは 2 つの異なる印刷物をカードに保存できると説明しました。
「指紋の暗号化されたデジタル テンプレートは、カードの EMV チップに保存されます」と Low 氏は述べました。新しいカードは、カードをチップ アンド ピン端子に挿入した後 (スワイプせず)、ユーザーが一致する指紋を入力すると認証されます。カード センサーは、カードを取り込む ATM で使用した場合も機能しません。
センサー付きクレジット カードと Apple Pay の最も明らかな違いは、「チップ アンド ピン」カードに比べて Apple Pay の利便性の利点です。つまり、何も挿入する必要がありません。 (特に米国では) カードを挿入して取引が完了するまで待つという長い時間に比べ、取引時間はほぼ瞬時に完了します。
Apple Pay はまず速いですが、それよりも安全であることが重要です
ただし、報告されている Mastercard の実装は、次の点でも根本的に異なります。セキュリティポリシーiPhone、iPad、および新しい MacBook Pro の Touch ID と Apple Pay と比較します。 Apple の実装では、指紋はデバイスにまったく保存されません。
代わりに、ユーザーの指紋を検証できる代表的な情報が、アプリケーション プロセッサ内の Secure Enclave に一方向でコピーされます。ユーザーが Touch ID センサーに触れると、印刷データが Secure Enclave に送信され、比較されて一致するかどうかが判断されます。承認された場合、トランザクションは別のコンピュータ システムとして承認されます。
誤った印刷が何度も提供されると、Apple Pay と Touch ID 認証が無効になり、ユーザーはパスコードを使用してデバイスのロックを手動で解除する必要があります。 Touch ID が 48 時間以内に使用されなかった場合、認証もリセットされ、再度パスコードが必要になります。
さらに、デバイスの電源が失われると、パスコードを使用してデバイスのロックを解除するまで、認証システムもオフになります。これらの予防措置はすべて、盗難されたデバイスに対する繰り返しの誤った試みからユーザーを保護するために講じられます。
指紋センサーはすべて同じではありません
iPhone とは異なり、カードに埋め込まれた Mastercard EMV チップは常に電源がオフになっています。カードにバッテリーがありません。代わりに、カード リーダーに挿入されたときにのみ電源が投入され、取引中に電力が供給されます。
これは明らかに、電源が失われたときに印刷データが無効にならないことを意味します(使用していないときは常に失われるため)。つまり、紛失してから発見されて報告されるまでのどの時点でも、紛失したカードは偽の印刷で攻撃される可能性があります。盗まれた。リセットされることはありません。
さらに、チップがデータをどのように保存するかはあまり明らかではありません。 Google の Android や Microsoft Windows を実行するデバイスで使用される指紋リーダーは、Samsung、HTC、東芝、Lenovo など、表面上は技術に精通した大手ハードウェア メーカーによって製造されていますが、Apple が Touch ID や Apple Pay 用に作成したのと同じセキュリティ ポリシーに従っていません。
嫌味を言うだけで済むのに、誰が事実を必要とするでしょうか?
Android の指紋センサーはセキュリティ上の混乱を招く
当初、指紋センサーを搭載した Android スマートフォン (HTC One Max や Samsung Galaxy S5 など) は、攻撃者がデバイスのストレージから指紋データを抽出できるような方法で指紋データを無責任に保存していました。
Samsung Galaxy S5は指紋センサーが「iPhoneと同じ」と主張したが、速度が遅く、ユーザーの指紋やデータを保護しなかった
セキュリティ会社 ElcomSoft注目したHTC はフィンガープリントを「圧縮も暗号化も保護もされていないビットマップ (/data/dbgraw.bmp) に保存しました。開発者はこのファイルに 0666 (誰でも読み取り可能) 以外のアクセス許可をわざわざ割り当てませんでした。つまり、root 権限がなくても、どのプロセスでも簡単にアクセスできることを意味します」指紋を読み取って抽出します。」
Android 6 では、Google が Touch ID への対応策として「Nexus Imprint」を導入した際に、指紋ポリシーに関するいくつかの最低基準の実装を開始しました。ただし、Google は独自の基準に従っているようですが、ElcomSoft のセキュリティ専門家は、他の Android 指紋セキュリティは「大幅に一貫性がない」と述べています。
問題点としては、Android ハードウェア メーカーは、再起動後に指紋によるロック解除を可能にする携帯電話を製造できることです。 Apple の Touch ID のように、48 時間という有効期限が義務付けられていません。
最新の Android 6 以降のデバイスでは、指紋情報の保存に信頼された実行環境を使用することが義務付けられていますが、OS カーネルを侵害できる攻撃者はデバイスのロックを解除し、電話全体を復号化することができます。 iOSではそれは不可能です。
Touch ID センサーを交換し、それを不正なセンサーに交換すると、iOS デバイスがレンダリングされます使用できませんTouch ID または Apple Pay。 Android ではそうではなく、侵害されたセンサーがインストールされている可能性があります。
さらに、ハードウェア メーカーがより安全な指紋システムを構築できるように設計された、かなり最新の Android バージョン (6.0 以降) を使用している Android インストール ベースは、現在、わずか 36 パーセントです。そしてGoogleのフルディスク暗号化実装が非常に遅い (そして悪い) ため、通常はオフになっており、指紋センサーのセキュリティはすべて無価値になります。
Windows PC も同様に、価値のない指紋センサーを取り外しました
Apple が 2013 年から強力なセキュリティ ポリシーを背景に iPhone で Touch ID を普及させる数年前に、Acer、Amoi、ASUS、Clevo、Compal、デル、ゲートウェイ、IBM/Lenovo、Itronix、MPC、MSI、NEC、セイガー、サムスン、ソニー、東芝。
Windows PC ノートブックの指紋センサーは安全ではありませんでした
しかし、セキュリティ研究者のオルガ・コクシャロワ氏は、報告されましたこのセンサーは「Windows アカウントのパスワードを『ほとんど平文で、スクランブルはほとんどかけられていないが暗号化されていない』状態でレジストリに保存」し、その結果「Windows アカウントのセキュリティ モデル全体を危険にさらす (そして事実上破壊する) 大きな、輝かしいセキュリティ ホール以外の何物でもない」と述べています。 」
願わくば、信じられないほど遅くて不格好な EMV チップとピン カードの背後にある頭脳が、Samsung や Lenovo などよりもセキュリティに注意していることを願っています。いずれにせよ、Apple が Touch ID や Apple Pay 用に開発したのと同じ種類のセキュリティ ポリシーを実装する方法はありません。クレジット カードは電源内蔵のスマートフォンではないからです。
Isamu 
Isamu 
Isamu