WEBサービスのログインにスマホの生体認証使うのに抵抗感があるという話

最近の #スマホアプリ の #認証 って #生体認証 使えるじゃないですか。
#モバイルバンキング で指紋でログインとか。顔でログインとか。
あれ、なんか、抵抗感あるのって私だけですかね。
生体情報とか流出したらなんかやばい気がするし。似た顔の人がログインできるんでないかとか。

そもそも #パスワード と #PIN ってあるじゃないですか。
パスワードがサーバー側で認証で、PINは端末で完結するやつ。
それで、普通WEBサービスってパスワードで認証するじゃないですか。端末が認証するPINではなくて、サーバー側で認証するパスワード。
これに対して、スマホの生体認証って端末側で認証してるんですよね。

ということは、モバイルバンキングに指紋でログインするときって、スマホが「認証OKだぜー」って言ってるのをサーバー側が信用してOKにしてるってことですよね。
でも、スマホって個人の持ち物じゃないですか。改造されて適当に「OKだぜー」って言ってる可能性あるし、全然違うスマホが「OKだぜー」ってなりすましてる可能性もあるじゃないですか。
やばいですね☆

まぁ、そういうことがないように、 #FIDO って規格があるわけですけど。
FIDOの認定を受けた端末で、FIDOの規格に沿ったプロトコルを使ってサーバーとやり取りしていれば、改造されていたり、なりすまされてたりすることはないってことなんですよね。
やばいですね☆

ということで、まぁ、まず大丈夫なんでしょうけど、自分としては実際にどういう理論で大丈夫で言い切れているのかが理解しきれてないので、モヤモヤっとするんですよね。勉強しろって言われればそれまでですけどね。