Scribble at 2022-06-27 16:15:48 Last modified: 2022-06-27 16:17:32
When those two steps cannot interact with each other, a well-designed lock will never reveal information about the correct positions of its individual parts, nor can they be made to 'fall into' their unlocked positions through manipulation.
鍵穴の仕組みとしては面白い。
でも、情報セキュリティでも同じことが言えるわけだけど、最も致命的な脆弱性は防げない(というか、たぶん原理的に防ぎようがない)。それは、すごく単純なことだけど、鍵を盗まれたり鍵の形状をスキャンされることだ。情報セキュリティにおいても、identity theft は防ぎようがない。なぜなら、それは認証システムの脆弱性ではないからだ。そして、認証システムがそれ自体のセキュリティとは関係のないセキュリティに依存することでしか資産に対するアクセスとして正しい confidentiality を維持できないというところに、原理的な限界がある。
今日は会社の研修動画で MFA について取り上げたのだが、どれほど堅固な認証の仕組みを実装しても、credential を奪われたり失うリスクをシステムが低減させたりはできないのだ。だからこそ、パスワードの桁を記者会見で迂闊に喋るような人間を情報管理の担当にしてはいけないし、仕事の道具をもって飲みに行くような人間に機密データや個人情報の案件を担当させてはいけないのである。いや、冗談ではなく慎重に事を運びたいのであれば、極端なことを言えば、俺らみたいに酒を飲まない人間を優先した方がいいんだよ。