• 締切済み

銀行ATMでカードと暗証番号の認証を1回の通信で行わないのはなぜ?

銀行ATMでカードと暗証番号の認証を1回の通信で行わないのはなぜ? 銀行ATMではまずICカードで個人認証を行ってから、暗証番号認証を行いますが、なぜICカード認証と暗証番号認証を1回の通信で行わないのですか?セキュリティやユーザビリティ、システム上の理由があるのですか? カードが盗まれた場合に、個人認証のための通信を2回に分けてしまうと、カード認証が行われた段階でそのカードが有効であることが、第三者にばれてしまいます。 ICカード情報を保持した状態で暗証番号の入力を行い、両情報を一括で照合した方が、どちらかが照合できない場合に「キャッシュカードまたは暗証番号が間違っています」と表示され、セキュリティレベルとしては高いように感じました。 ICカードは磁気カードと違って偽造することが難しく、また通信も鍵暗号化方式を採用しており、情報が通信中に盗まれてしまうという理由は考えにくいです。 システム、セキュリティ、ユーザビリティなどの理由があるのでしょうか?

みんなの回答

  • crossgate
  • ベストアンサー率65% (78/119)
回答No.1

カードの認証というのがICカード情報が正しいこと(鍵)の認証なのか、生体認証のことを言ってるのかは謎だけど… ICカード情報が正しいことの認証なら、それは今が経過期間だから。 と一言で終わらせても何なので。 本当なら、ATMから金融機関のホストにICカード情報と取引情報を纏めて送って、 一気に認証処理を済ませてしまいたいところなんだけど、それをやるには大幅なシステム変更が 必要になってくる。 システム変更には結構な期間と莫大なお金が必要だから、「よーいドン」でみんなが一斉にできる 訳じゃない。 だから全銀協は、  ・とりあえず、ATMでICカードを使えるようにしましょう  ・その後で、ホストでICカード認証できるようにしましょう、、、というのは正確じゃなくて   ATMでやらないようにしましょう って2段階に分けた。 今はまだ「ICカードは使えるけどホストでは認証できない」っていう状態。 じゃあどうしてるかっていうと、ATMにSAMっていうモジュールを載せて、そいつでICカード認証 してからホストと通信してる。 認証はATMでやっつけておいてから、ホストとは磁気ストライプの時と同じ情報を(暗証番号もここで) やりとりしてるっていうのが実状。 IC認証は後付けだからしかたない、と言っても良いかも。 これが次の段階になるとICカード認証をホストでやるようになる。 そして、生体認証のことなら、確認できるのは予め登録してる個人かどうかだけで、 実際に使えるかどうかはICカード情報が正しいことを確認しないと分からないから気にしなくて良い。 と突き放してしまうのも何なので。 磁気ストライプの時(の最初のころ)は、それ自体に暗証番号を書き込んでた。 ただ、解読が簡単で問題があったから、暗証番号はホストに載せる(カードに持たない)ようにした。 だけど、ストライプ自体をコピーされちゃうスキミング問題が出てきてから、 解析・複製が難しいICカードが登場することになる。 そこに更にセキュリティを強化するために生体認証が乗っかってきたんだけど、 それはあくまでも本人確認でしかない。 しかも生体情報はICチップにしかないはずだから、ホストまで持って行ってもメリットがない。 (つまりこいつもATMで認証してる) まあ、実際にカードとして使えるかどうかは「ICカード情報が正しいこと」を確認して、 個人を特定するために生体認証、暗証番号がある、 っていう風に位置付けが違うと思ってもらえれば良いかな? ICカード情報が正しいことはいずれホストでやるようになるけど、 本人確認までやるかというと… ニーズがあるか、それこそセキュリティの問題でも起きない限りは、そこまでやらないという予想。 それ以前に、生体情報なんていう個人情報を一企業が管理することに、 日本人はまだアレルギーあるんじゃない?とも思うが。 まあ、生体認証付きカード使ってる人はそんなものないだろうし、厳密に言えばカードは銀行の 貸与物だから管理されてるって言えばされてるんだけど。

関連するQ&A

専門家に質問してみよう