アカウント名:
パスワード:
カードがだめなら生体認証なんだけどそれでいいの?それともパスワード認証+ワンタイムでイイっていうの?ワンタイムじゃ意味が無いから多要素認証としてマイナンバーカードとそのパスフレーズでやってるんだけどわかってる?
給付金申請のサイトが出来た頃にこのサイトはあり得ない!とか騒いでた某社CTOは自分が証明書認証がなんなのかわかってない事を自覚したのか速攻でツイート消してたけどメーカーが出す製品も国が出してくるシステムも「お前等が考えることを考えた上で何か理由があってその仕様は却下したのだ」って視点を忘れるな
パスワード認証だけでいいよ。銀行だってそれで運用してるんだから。強度を上げたいなら、SSLの個人証明書の発行程度で良い。不便にする方向のセキュリティは大衆に受け入れられない。
証明書認証が未だにわかっていない御仁がおられた。マイナンバーカードでSSHの公開鍵暗号でログインできますよ?まぁ手順は必要だけど。
マジでマイナンバーカードとかなんなのかわかってなさすぎ銀行だってログインは出来ても送金はワンタイムだのついてるでしょうに。不便にしないセキュリティなんてないしそれはトレードオフだ
カードじゃなくて、秘密鍵単品をファイルで寄越せという話。物理的なカードなんて邪魔な上に盗難や紛失を招くだけ。
で、その秘密鍵はどうやって管理するんですか?その秘密鍵の管理を国民一人一人に誰がどうやって教育するんですか?その辺を突き詰めていくとカードになるんですが。
質問とはずれるけど。
個人的には、証明書なんて持ち歩くものじゃないのでEV証明書みたいにハードウエアトークン(USBトークン)で配布するのが良いと思う。
ハードウエアトークンにしておけば、カードリーダーなんて必要ないし、NFC未対応のスマホはあってもUSB端子のないスマホなんてないから困らないし。
管理に関しては、印鑑と同様に金庫に入れておけば良いと思うしね。
はい、それではWindows、Linux、UNIX、iOS、Android(OTC対応)、Android(OTC未対応)全てで動くハードウェアトークンの規格を出してください。
iPhoneの場合、NFCカードリーダーとUSB-Lightning変換とどっちが安いかな。
庶民が持っていないはずだ!ってスマートフォンについてますよね?iPhoneだと出来ないですが、Androidだとスマホ自体をカードリーダー代わりにできますよスマホからでもマイナポイントの申請も可能ですので国民への普及率を考えれば庶民がもっていない!っていうのは違うでしょうちなみに、e-TaxもAndroidについてはAndroidから出来るぞhttps://www.e-tax.nta.go.jp/topics/topics_200106_sp.htm [nta.go.jp]iPhoneについては今後対応予定だけどAndroidも認証に対応している端末は増えていますし。
定額給付金の手続きにはiPhoneは対応してたんだけどね。なんで遅れたんだろう?
Webブラウザに保存させておく以上のことは何も必要ないだろ。
証明書をブラウザに保存・・・?Windowsであればブラウザでは無くってWindowsの証明書ストアに入れるとかFireFoxなら独自の場所に入れるとかパターンどうします?パソコンやスマホを買い換えるたびにやらせるんですか?それ誰がどうやって教育するんですか?分かる人間の論理で考えてる時点でユースケースの想定が甘いです。
はい、当然カードの中に公開鍵と秘密鍵入っているので公開鍵を取り出して公開鍵の登録が必要ですなこんなことSSHを普段やっていれば分かると思うんだけど、当たり前の作業を手順が必要って言ったんだけど
説明されなきゃわからないならわからないままでいいし調べれば分かるので公開資料を読みあさってきてください
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
マイナンバーカードに批判的な人たちいるけど (スコア:0)
カードがだめなら生体認証なんだけどそれでいいの?
それともパスワード認証+ワンタイムでイイっていうの?
ワンタイムじゃ意味が無いから多要素認証としてマイナンバーカードとそのパスフレーズでやってるんだけどわかってる?
給付金申請のサイトが出来た頃にこのサイトはあり得ない!とか騒いでた某社CTOは
自分が証明書認証がなんなのかわかってない事を自覚したのか速攻でツイート消してたけど
メーカーが出す製品も国が出してくるシステムも「お前等が考えることを考えた上で何か理由があってその仕様は却下したのだ」って視点を忘れるな
Re: (スコア:0)
パスワード認証だけでいいよ。
銀行だってそれで運用してるんだから。
強度を上げたいなら、SSLの個人証明書の発行程度で良い。
不便にする方向のセキュリティは大衆に受け入れられない。
Re:マイナンバーカードに批判的な人たちいるけど (スコア:0)
証明書認証が未だにわかっていない御仁がおられた。
マイナンバーカードでSSHの公開鍵暗号でログインできますよ?
まぁ手順は必要だけど。
マジでマイナンバーカードとかなんなのかわかってなさすぎ
銀行だってログインは出来ても送金はワンタイムだのついてるでしょうに。
不便にしないセキュリティなんてないしそれはトレードオフだ
Re: (スコア:0)
カードじゃなくて、秘密鍵単品をファイルで寄越せという話。
物理的なカードなんて邪魔な上に盗難や紛失を招くだけ。
Re: (スコア:0)
で、その秘密鍵はどうやって管理するんですか?
その秘密鍵の管理を国民一人一人に誰がどうやって教育するんですか?
その辺を突き詰めていくとカードになるんですが。
Re: (スコア:0)
質問とはずれるけど。
個人的には、証明書なんて持ち歩くものじゃないのでEV証明書みたいにハードウエアトークン(USBトークン)で配布するのが良いと思う。
ハードウエアトークンにしておけば、カードリーダーなんて必要ないし、NFC未対応のスマホはあってもUSB端子のないスマホなんてないから困らないし。
管理に関しては、印鑑と同様に金庫に入れておけば良いと思うしね。
Re: (スコア:0)
なんで庶民がもってないであろうNFCカードリーダや、ISO7816準拠のICカードリーダを公的手続きのため「だけ」に購入する必要があるのか・・・。
もし電子署名をするのであれば、秘密鍵のパスフレーズで署名が出来ればよいはずだ。
公的機関はこういうしょーもないカードとか、印鑑みたいな物理的なアイテムに依存するのをやめろ。
# こないだ祖母方の住民票を取り寄せたのだけど、明治頃の住民票はテキストデータ化されておらず、画像データとして保存してあった。
# 使えるデータに変換せぇよ・・・
Re: (スコア:0)
はい、それでは
Windows、Linux、UNIX、iOS、Android(OTC対応)、Android(OTC未対応)全てで動くハードウェアトークンの規格を出してください。
Re: (スコア:0)
iPhoneの場合、NFCカードリーダーとUSB-Lightning変換とどっちが安いかな。
Re: (スコア:0)
庶民が持っていないはずだ!ってスマートフォンについてますよね?
iPhoneだと出来ないですが、Androidだとスマホ自体をカードリーダー代わりにできますよ
スマホからでもマイナポイントの申請も可能ですので国民への普及率を考えれば庶民がもっていない!っていうのは違うでしょう
ちなみに、e-TaxもAndroidについてはAndroidから出来るぞ
https://www.e-tax.nta.go.jp/topics/topics_200106_sp.htm [nta.go.jp]
iPhoneについては今後対応予定だけど
Androidも認証に対応している端末は増えていますし。
Re: (スコア:0)
定額給付金の手続きにはiPhoneは対応してたんだけどね。
なんで遅れたんだろう?
Re: (スコア:0)
スマホでテキスト入力とかしんどいし、画面の大きさもPCと比べると俯瞰性が著しくよくない
あと、印刷の問題はどうするのさ?
必ず最後に控えを印刷させるみたいなアフォな仕様がまだ残ってる
Re: (スコア:0)
Webブラウザに保存させておく以上のことは何も必要ないだろ。
Re: (スコア:0)
証明書をブラウザに保存・・・?
Windowsであればブラウザでは無くってWindowsの証明書ストアに入れるとか
FireFoxなら独自の場所に入れるとかパターンどうします?
パソコンやスマホを買い換えるたびにやらせるんですか?それ誰がどうやって教育するんですか?
分かる人間の論理で考えてる時点でユースケースの想定が甘いです。
Re: (スコア:0)
はい、当然カードの中に公開鍵と秘密鍵入っているので公開鍵を取り出して公開鍵の登録が必要ですな
こんなことSSHを普段やっていれば分かると思うんだけど、当たり前の作業を手順が必要って言ったんだけど
説明されなきゃわからないならわからないままでいいし調べれば分かるので
公開資料を読みあさってきてください