tag:blogger.com,1999:blog-77881673084643338522024-03-14T00:21:32.626+09:00画像認証ブログ画像認証について研究するブログUnknownnoreply@blogger.comBlogger43125tag:blogger.com,1999:blog-7788167308464333852.post-88264922646961184852018-01-10T21:10:00.004+09:002018-01-10T21:10:52.647+09:00ただシンプルに「あなたは誰かを知っています」やや古い話題になりますがDisrupt SF 2016で入賞した「<a href="https://techcrunch.com/startup-battlefield/unifyid/" target="_blank">UnifyID</a>」が気になります。<br />
一年半くらい経ったのですがどうなったのでしょうね。<br />
2017年8月にはシリーズAで2,000万ドルを獲得、と出ていますが。<br />
コンセプトとしては行動パターン認証だと思いますが、きちんとパッケージにまとめてスマートフォン市場に投入すればかなりのところに行けると思います。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-47576776700329055362016-01-10T22:25:00.001+09:002016-01-10T22:27:23.061+09:00中国の画像認証が難しすぎる…らしい。…そうかあ?<span style="background-color: white; color: #212121; font-family: sans-serif; font-size: 12px;">本年もよろしくお願いします。</span><br />
<span style="background-color: white; color: #212121; font-family: sans-serif; font-size: 12px;">CAPTCHA関連ネタなのですが、ちょっと関係あると思うのでこれ。</span><br />
<span style="background-color: white; color: #212121; font-family: sans-serif; font-size: 12px;"><br /></span>
<br />
<blockquote class="tr_bq">
<span style="background-color: white; color: #212121; font-family: sans-serif; font-size: 12px;"><a href="http://biz.bcnranking.jp/article/column/real/1601/160107_141164.html"><駐在記者・真鍋武が体験したリアルな中国>難しすぎる画像認証</a></span></blockquote>
<br />
<span style="background-color: white; color: #212121; font-family: sans-serif; font-size: 12px;"><br /></span>
<span style="background-color: white; color: #212121; font-family: sans-serif; font-size: 12px;">そんなに難しくない気がするんだけどな…。</span>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-956725704831416722015-06-28T23:37:00.005+09:002015-06-28T23:37:47.768+09:00Secure Quick Reliable Login先日もBitCoinとイマイチ無関係な認証システムがBitCoin関連ニュースで紹介されていましたが、今度のはちょっと違う、かも?<br />
<blockquote class="tr_bq">
<a href="http://bravenewcoin.com/news/sqrl-revolutionizing-web-site-login-and-authentication/" target="_blank">SQRL Revolutionizing Web Site Login and Authentication</a></blockquote>
SQRLを実装したサイトに対しては、SQRLクライアントにマスターパスワードを入力するだけでログインすることができる、ようです。<br />
<blockquote class="tr_bq">
<a href="https://en.wikipedia.org/wiki/SQRL" target="_blank">SQRL</a></blockquote>
アルゴリズム的には256bitのハッシュと擬似乱数が仕込まれているということのようです。オープンソースなのでサイトへの実装も、独自クライアントの実装も可能のようです。<br />
<br />
このシステムは2013年に提案されたのだそうですが、なぜ今になって取り上げられたのでしょう。そしてどうして現時点であまり普及していないのでしょう。<br />
<br />
こういう記事が当時書かれていたりしますが、本質的な批判になっているのかな?<br />
<blockquote class="tr_bq">
<a href="http://security.blogoverflow.com/2013/10/debunking-sqrl/" target="_blank">Debunking SQRL << Stack Exchange Blog</a></blockquote>
マスターパスワードを破られると全部破られる、というのはパスワード管理ツール(LastPassとか)と共通の問題だと思います。メールアドレスを使わないのでマスターパスワードをリカバーする手段がないというのは確かに問題かも、ですが、何かの手段を設ければいいだけにも聞こえます。<br />
<br />
実際の現在の評価はどうなのでしょう。そしてBitCoin陣営ではどういう評価なのでしょうね。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-55858420670227913132015-06-26T23:02:00.004+09:002015-06-26T23:02:57.535+09:00Post-Quantum量子コンピュータ実用化以降、暗号はどうなるのか。<br />
<br />
「一年前にはVCは我々のことを笑って『お帰りください』という扱いだった」「しかし各社が量子コンピュータを作ると言い出している」「8ヶ月位前からもはや笑い事ではなくなってきた」<br />
<br />
「バックドアじゃなくて、サイドドアを提供可能だ」(政府が好き勝手に暗号通信を覗き見できるのではなくて、然るべき手続きを経てコンセンサスがあるときだけ読み取ることが可能になる、ということらしい?)<br />
<br />
いろいろ考えさせられることが書いてあります。原理がイマイチよく分からない…。<br />
<blockquote class="tr_bq">
<a href="http://techcrunch.com/2015/06/22/pq-solutions/" target="_blank">Post-Quantum Encryption No Longer A Laughing Matter</a></blockquote>
ちなみに文中、「McElie<span style="color: red;">s</span>e」と書かれていますが、「McElie<span style="color: blue;">c</span>e」が正しいようです。<br />
<blockquote class="tr_bq">
<a href="https://en.wikipedia.org/wiki/McEliece_cryptosystem" target="_blank">McEliece cryptosystem</a></blockquote>
それぞれが持っている部分鍵を持ち寄らないと解読できない、みたいなところは何となく分かるのですが。1人が全部の鍵を持っているから破られるのだ、というのも何となく分かる。<br />
<br />
ちょっと気になる記事だったので取り上げてみました。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-37743917870543034202015-06-21T17:00:00.000+09:002015-06-21T17:00:02.002+09:00iOS9では2要素認証を標準装備、PINも6桁に。<blockquote class="tr_bq">
<a href="http://www.channelworld.in/news/apple-steps-up-security-with-native-two-factor-and-6-digit-passcodes-in-ios-9" target="_blank">Apple steps up security with native two-factor and 6-digit passcodes in iOS 9</a></blockquote>
むしろバージョン8まで何やってたんだって話だと思いますけどね。<br />
<br />
先日のTouchIDの話も含めてAppleの意識ってちょっとズレてる気がするのですよね。<br />
<br />
まあそれを言い出すと、セキュリティを真剣に考えている会社ってどこにあるんだろうという気はするのですよね。セキュリティを食い物にしている会社はたくさんあるんですけど…。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-22975603036159514842015-06-02T00:00:00.005+09:002015-06-02T00:00:48.897+09:00行動パターン認証と言えば…たった今テレビでやっていましたが、<a href="https://www.jins-jp.com/jinsmeme/" target="_blank">JINS MEME</a>を掛けて歩くと「歩き方の癖」が判定できて「矯正」できるそうです。<div>
<br /></div>
<div>
その他コンディション判定などいろいろなことに使えそう、ということで考えられているようです。</div>
<div>
<br /></div>
<div>
矯正、というか、バランスとか健康とかの方向に話が行ってしまいがちになるのは何となく分かるのですが、</div>
<div>
<br /></div>
<div>
考えてみるとこちらを端末の代わりに情報収集に使ってProject Abucus相当のことをやってしまえば電池の消耗も気にしなくてよいし、いいんではないかな。</div>
<div>
<br /></div>
<div>
まあいずれにしてもこういうのは増えていくのだと思います。突破される確率はかなり低いと思うので案外普及するのは早いかもしれませんね。少なくとも指紋センサなんかよりは有望な気がします。</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-36312564013742105332015-06-01T23:48:00.006+09:002015-06-01T23:48:54.761+09:00究極の行動パターン認証 個人的に、これは予想の範囲内でした。<br />
<blockquote class="tr_bq">
<a href="http://ggsoku.com/2015/05/google-project-abacus/" target="_blank">Google、パスワード入力を無用にする新プロジェクト「Project Abacus」を発表</a></blockquote>
端末で日常的に集めたデータを使って「本人っぽい行動」かどうかを判定するというもののようです。行動パターン認証をもっと緻密に精密にやりましょうという話ですね。<br />
<br />
高確率で正しく判定できるようにするにはどれくらいのデータを集めればいいのか、というのを考えてみると面白そうです。1人ビッグデータというか1人ディープラーニングというか。まあ確かにできそうな気がします。なまじっかな生体認証とかより精度が高そうな気もしますし、破りにくそうというのはすぐに分かる感じです。何が決め手で本人と判定しているのかが外から見て多分分からないはずなので。それでも偶然に誤まって認証成功してしまうことはありそうですが、それを有効に攻撃に使える攻撃者はいないだろうな、とは思います。<br />
<br />
問題はやはり誤って認証失敗してしまった場合でしょう。落ち着いてやり直せば認証成功するというものではないですからね。その時のために代替認証手段を用意する、と、やってしまうと、つまりはせっかくの高度な認証システムを迂回できてしまうことになって、意味がありません。そこをどうするのかがちょっと注目ですね。<br />
<br />
ちなみに、日常的に大量のデータを集めるために電池の消耗が激しくなってしまうらしい。まあ、そこまでも予想の範囲内。やれやれだぜ。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-79811334794252646612015-05-31T17:15:00.001+09:002015-05-31T17:15:09.109+09:00進化したDaS、もしくはセキュアジェスチャーテクノロジーロッキード・マーチンというと「あの」ロッキード事件の会社という印象ですね。今は旅客機は作ってなくて軍事用に特化しているようです。で、IT関連技術部門があって、そこが提供しているのがMandrake Secure Gesture Technologyだそうな。<br />
<blockquote class="tr_bq">
<a href="http://gcn.com/articles/2015/05/27/swipe-touchscreen-authentication.aspx" target="_blank">Is swipe technology the future of authentication? -- GCN </a></blockquote>
簡単に言うと、Draw-a-Secretの進化版。もうちょっと複雑化したもの。という感じですね。確かに精度を高めればセキュアにはなるかも知れませんが、そんなにうまくいくだろうか。<br />
<br />
ロッキード・マーチンと組んでいたのはFixmoという会社のようですが、ライバル会社のGood Technology社に裁判で争った挙句に買収されてしまったようです。Fixmo社の各種Web記事に張られていたリンクはすべてjp.good.comへランディングする模様。これだとMandrakeの内容もよく分かりません。「Secure Gesture」がFixmo社の商標のようなので、主導権を握っていたのはFixmoだったのではないでしょうか。買収された経緯が経緯だけに技術としてどういう扱いを受けるかは…。<br />
<br />
いずれにしても強化したDaSくらいでそんなに騒がないでほしいかな…アメリカは政府がセキュリティ強化のためにいろいろな施策を打っているようで、この記事も政府に売り込んだことで注目されたような話に聞こえます。 ロッキードが軍需産業で政府に近い関係だからという要素も考えなくてはならないのでしょうね、こういう場合。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-47018339693582891882015-05-09T04:54:00.001+09:002015-05-10T22:50:59.652+09:00TouchIDは誰があるいはどの指紋が認証を通ったかを教えてくれない<div dir="ltr">
Appleの得意とする「使いやすさ」の裏にある危うさ、でしょうか。</div>
<blockquote class="tr_bq">
<a href="http://www.techrepublic.com/article/apple-touch-id-design-constraint-raises-authentication-red-flags/" target="_blank">Apple Touch ID design constraint raises authentication red flags - TechRepublic</a> </blockquote>
<div dir="ltr">
Touch IDは、いくつかの指紋を登録することができます。その際、その指紋が所有者本人のものであるかどうかをチェックすることはありません。</div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
通常、シリアスなセキュリティにおける指紋認証では、指紋を登録するときに何らかの手段で(たとえば立会人がいて)本人が指紋を読ませていることを確認します。誰かの認証のための指紋として別人の指紋が登録されるという事態は基本的には防止措置が取られているはずです。そうでなければ何を認証しているかが分からなくなりますからね。</div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
別人の指紋で認証できるようにしてしまうというのは例えて言えばICカードの入構証で扉を通過できる人間をコントロールしているときに、コピーカードを作成して他人に渡して使わせているようなものです。</div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
もちろん、それでもその指紋が完全に信頼できる、かつ、どんな秘密も共有できる間柄の人間のものであれば問題はないのでしょう。そういう存在って何?自分の分身ですか?配偶者?いやいや、配偶者と言えども共有できない情報はあるでしょう。(そのことの良し悪しはさておき。)</div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
実はもっと悪いことに、iOSの仕組み上、指紋は暗証番号さえ知っていれば登録できてしまうらしいです。なので、本当に他人であっても登録できてしまいます。そしてそれを本人に告げる必要はありませんし、本人に通知されることもありません。セキュリティは暗証番号のところで担保されているはずだから。<br />
<br />
これは要するに、指紋認証のセキュリティ強度は数字4桁の暗証番号のそれと等しいということです。</div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
そうやって本人の与り知らぬところで登録された指紋であっても、登録を通ってしまえばその指紋はその後事実上あらゆる情報へのアクセスに使えてしまいます。もちろんお金が絡むような処理もできてしまいます。その種の「こっそり登録された指紋」で何かが行われても本人に通知は行きません。理論上、その処理は本人が行ったものであるはずだとされているからです。</div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
また仕組み上、登録された指紋の間には区別がないそうです。アプリの側から見て、どの指紋で認証されたのか、という区別はできなくなっています。たとえば、右手の人差指で認証した場合にはAという動作をさせ、左手の親指で認証した場合にはBという動作をさせる、といった区別はできないわけです。</div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
アプリは指紋認証が通ったという事実のみを用いて、それを全面的に信用して処理を進めるかどうか、という選択を強いられてしまいます。しかしこれは、仕組みがそうなっているのでアプリとしてはそうするしかありません。というかそれが問題だと思っている人が開発者にせよ利用者にせよほとんどいないというのが現状ではないでしょうか。</div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
これ、意外と意識していない人が多そうですね。ちょっと薄ら寒くなってきました…。</div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
iPhoneがTouch IDを搭載する前からスマートフォンに指紋センサが搭載された例はありました。しかし事実上iPhoneのTouch IDが「メインストリームで利用されている指紋センサ」であることはほぼ間違いないでしょう。そのセキュリティがこんな状況であるということはかなり問題であると思われます。</div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
Appleは「Touch IDが気軽に使われる状況」がセキュリティを強化するために必要だと考えていると思います。高いセキュリティとユーザビリティを両立させる道具立てとしてある時点から以降の機種全てのホームボタンに指紋センサを組み込み、日常的に使ってもらい慣れてもらうために画面アンロックと指紋認証を一体化させるという方策を行いました。OSごとサポートして利便性を高める工夫をしています。しかしそこにはある種の限界があります。これがこのままの仕様で進むのであれば相当の問題に発展する可能性もあると思います。</div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
今のところあまり話題になっていないのが気がかりです。</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-16365887243885204452015-05-02T02:53:00.000+09:002015-05-02T02:53:07.586+09:00そのメガネは常時相手を分析しているわけだが画像認識系の話題を二つ<br />
<blockquote class="tr_bq">
<a href="http://www.dailymail.co.uk/sciencetech/article-3062909/Microsoft-glasses-tell-people-FEEL-Patent-reveals-emo-specs-use-sensors-cameras-read-emotions-you.html" target="_blank">Microsoft glasses will tell you how people FEEL: Patent reveals 'emo specs' that use sensors and cameras to read emotions of those around you</a></blockquote>
<blockquote class="tr_bq">
<a href="http://tokainafb.net/archives/4058" target="_blank">被写体の年齢を測定する「How Old Do I Look?」サービスを川崎関連の選手に使ったら精度がイマイチだった</a></blockquote>
この二つ、画像認識で被写体を解析するという性格の技術の話で、どちらもMicrosoftということで一緒に記事にしてみました。多分近い部門でやっているのだと思います。<br />
<br />
が、後者を読むとわかりますが、精度が高そうには見えません。前者にしても、まあまだ明細書読んでないので分かりませんが、人間の顔の表情から感情を読み取るのとか、姿勢から退屈しているかどうかを判定するとか、まあできそうだと言えばそうですが、何かちょっと論理的な裏付けはどうなってるのかなー的な感じです。そう簡単には実用化しないだろうと思うのはGlassに組み込んだチップで計算できなさそうな気がするから。もちろんクラウドで処理するというのはありうるんでしょうけど。<br />
<br />
ただ画像認識の精度はどんどん向上しているのだろうとは思います。思っても見ないことが簡単にできるようになっていったりするのでしょうかね。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-87259781337212764462015-04-30T22:39:00.001+09:002015-05-02T00:24:25.862+09:00メール配信業者の社員アカウントが破られユーザーはパスワード変更を余儀なくされる<div dir="ltr">
<a href="http://read.feedly.com/html?url=http%3A%2F%2Fwww.zdnet.com%2Farticle%2Fsendgrid-confirms-hack-says-usernames-and-passwords-were-hashed%2F&theme=white&size=medium" target="_blank">SendGrid confirms hack, issues mass password reset </a></div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
大惨事ですね。鍵のキャビネットの鍵を破られると全ての部屋に入り放題になる。<br />
この種のセキュリティリスクももっとキチンと運用しなくてはならなくなるのでしょうか。<br />
難しい問題です。</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-87546345554467014012015-04-30T22:35:00.001+09:002015-05-02T00:24:56.371+09:00耳紋認証<div dir="ltr">
<a href="http://www.bbc.com/news/technology-32498222" target="_blank">Yahoo tests ear-based smartphone identification system - BBC News </a></div>
<div dir="ltr">
<br /></div>
<div dir="ltr">
血縁関係を判別するには耳の形を見れば良い、というのはシャーロック・ホームズでしたっけ。確かにある種の認証に使えるかもと言われればそうかもと思います。スマートフォンならば否応なく耳を押し当てることになる(?)訳でそういう点でもある程度は理にかなっているのかな、と。とは言え、強度自体も心配ですし、「画期的な新技術!」みたいなことにならないかも心配です。</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-3715027043579353442015-04-26T19:20:00.000+09:002015-04-26T19:21:12.190+09:00本当に強力なパスワードとはなかなか面白いかも<br />
<blockquote class="tr_bq">
<a href="http://www.zdnet.com/article/everything-you-needed-to-know-about-passwords-but-were-afraid-to-ask/" target="_blank">We're stuck with passwords: Here's how to make them work better for you</a></blockquote>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://zdnet2.cbsistatic.com/hub/i/2015/04/22/aad4d3a6-0a79-42fc-b47e-1ad021aab683/ca208ba1648130757389aff58791c8de/passwordstrength.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://zdnet2.cbsistatic.com/hub/i/2015/04/22/aad4d3a6-0a79-42fc-b47e-1ad021aab683/ca208ba1648130757389aff58791c8de/passwordstrength.png" height="260" width="320" /></a></div>
<br />
実は結構意外なこの解説。問題はこういう長くてplainなパスワードを受け付けてもらえるかですかねえ。記号や数字を混ぜろと言われるとこういう置換えを使いたくなりますよね。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-84882101259439805412015-04-07T22:16:00.000+09:002015-04-07T22:16:01.290+09:00Interview with Jonathan LeBlanc from PayPalこちらのインタビュー<br />
<br />
<a href="http://opensource.com/business/15/4/interview-Jonathan-LeBlanc-PayPal" target="_blank">Has the time come to kill the password?</a><br />
<br />
なかなか示唆に富んだインタビューだと思います。<br />
<br />
「パスワード」という形が終わりを迎えつつあるのは、そもそも人間には「パスワード」が難しすぎるからだという議論が繰り返されているようです。FIDOにも関わっているようです。オープンソースハードウェアによる物理認証センサの発展に関しても触れています。<br />
<br />
そして、結論として、パスワードは今後もなくなることはないが、より異なった形に発展していくのだと言います。パスワードシステムというか、認証システムというのはつまり「自分が何者であるか」という主張とそれを検証するための情報の組み合わせにより実現されるのであり、それが「ユーザー名」と「パスワード」という形を取る必要は必ずしもないのだ、ということです。生体認証を始めとする様々な技術が新たな「パスワード」、異なった形の認証システムを形成していくのだろう、という結びになっています。<br />
<br />
とはいえ、結局は今の形の「パスワード」は終わりを迎えるのだという主張であるとも読めます。言い方だけの問題でしょうか。<br />
<br />
FIDOの人々が「パスワードを殺したがっている」というのは何となくわかったような気がします。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-74858638171087337362015-03-16T21:58:00.002+09:002015-03-16T21:58:45.905+09:00Yahoo!、パスワードなしのログインを導入<a href="http://www.theverge.com/2015/3/15/8219529/yahoo-on-demand-passwords-and-end-to-end-email-sxsw-2015" target="_blank">Yahoo shows off password-free logins and new encrypted email technology</a><br />
<br />
Yahoo!は「on-demand」ログインという仕組みを導入するそうです。単純にパスワード入力欄を省略し、その代わりに「ワンタイムパスワードを送信」ボタンを提示。ボタンを押すとワンタイムパスワードが送られてくるのでそれを入力してログインするということだそうです。<br />
<br />
つまりワンタイムパスワードの送られてくる(例えば)携帯電話を誰かに奪われてしまえばおしまいという非常にデンジャラスな仕掛けです。<br />
<br />
もっとも固定パスワード自体が非常に脆弱なので変わらない、という考え方もあるかも知れません。<br />
<br />
パスワードレスが今後どこまで広がるのかはちょっと注目かも知れません。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-19949495699012113912015-03-07T19:04:00.001+09:002015-03-07T19:04:37.477+09:00Clef<a href="http://www.newsbtc.com/2015/03/06/clef-enhanced-2fa-security/" target="_blank">Clef – Enhanced 2FA Security Inspired By Bitcoin</a><br />
<br />
Bitcoinにヒントを得た二要素認証…と言うので期待したのですが…。これが話題のバーチャルトークンってやつなんですかね。結局Bitcoinのアカウントの認証に使われているっていうだけの話に聞こえます。<br />
<br />
更にいうと公開鍵暗号だから安全という話はFIDOの時にも出てきましたが、そんなに単純な話ではありませんよね。どうしてこんな記事になっちゃうんだろう。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-46308652665362604942015-02-25T21:42:00.003+09:002016-01-10T22:35:33.184+09:00子供たちのパスワード問題OLPC(One Laptop Per Child)というプロジェクトがあります。子供ひとりに一台のコンピュータを、というプロジェクトです。ここ数日の報道ではXO-Infinityという新型の開発を発表したことが取り上げられています。<br />
<blockquote>
<a href="http://japanese.engadget.com/2015/02/23/olpc-xo-infinity/" target="_blank">OLPCの新型 XO-infinity 発表、子供と成長するモジュラー型コンバーチブルタブレット</a>
</blockquote>
このデバイスそのものが主題ではありません。このサイトを訪問して記事を読んでいて気がついたのがこれです。<br />
<blockquote>
<a href="https://medium.com/road-to-infinity/teacher-i-cant-forget-my-password-d3108914b8e0#.jkm2xn13d" target="_blank">Teacher, I can’t forget my password. - Solving the password problem for our schools</a></blockquote>
子供にパスワードを覚えておくようにと言っても難しいでしょう。一般的には教師が子供たちのユーザー名とパスワードを一覧にした紙を持っていて対処するようです。しかしプライバシーやセキュリティが守られるにこしたことはありませんよね。ではどうやって…。<br />
<br />
もちろん、この方式は教室の中で、信頼に結ばれた師弟の間でしか通用しないものです。でもちょっとだけ、未来のパスワード、についてのヒントが含まれているような気がします。もちろん、子供たちはパスワードの意味や重要性を理解できていないからこうなるのです。では我々はパスワードの意味や重要性をどれくらい理解できているのでしょうね。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-20056440042713505002015-02-22T00:08:00.001+09:002015-02-22T00:08:24.515+09:00Passageおっと「バーチャルトークン」と近いのかなこれ。<br />
<br />
<blockquote class="tr_bq">
<a href="http://getnews.jp/archives/820387" target="_blank">面倒なパスワード入力が不要に!「Passage」の画像認証で楽々ログイン</a></blockquote>
<br />
「パソコンのカメラの前に、設定してあった画像を提示する」<br />
<span style="font-family: inherit;">「<span style="background-color: white; color: #111111; line-height: 27.2000007629395px; word-spacing: 0.100000001490116px;">「Passage」の画像認証アルゴリズムは、画像のわずかな違いをも検出する。人の目では差異が見分けられないようなレベルも判別するため、安心である。」</span></span><br />
<span style="font-family: inherit;"><span style="background-color: white; color: #111111; line-height: 27.2000007629395px; word-spacing: 0.100000001490116px;"><br /></span></span>
<span style="font-family: inherit;"><span style="background-color: white; color: #111111; line-height: 27.2000007629395px; word-spacing: 0.100000001490116px;">ツッコミどころその一は、カメラを備えている機器とは別の画像を取り出すためのデバイスがもう一つ必要というところ。これは見たところスマートフォンのアプリのようなので、もう一台のスマートフォンとかタブレットとかWebカメラ内蔵パソコンとかで認証するときに使うことになるわけですね。それってどうなんでしょうか。スマートフォン一台しか持ってない人、いると思いますけどね。</span></span><br />
<span style="font-family: inherit;"><span style="background-color: white; color: #111111; line-height: 27.2000007629395px; word-spacing: 0.100000001490116px;"><br /></span></span>
<span style="font-family: inherit;"><span style="background-color: white; color: #111111; line-height: 27.2000007629395px; word-spacing: 0.100000001490116px;">ツッコミどころその二は、パソコンに搭載されているWebカメラって今でもそんなに解像度高くない気がするんですけど…。「人の目では差異が見分けられないようなレベルを判別」するのはそんなに簡単ではないと思います。表示する側も…まあ今のスマートフォンの解像度なら一応充分ではあるかも知れませんが…。</span></span><br />
<span style="font-family: inherit;"><span style="background-color: white; color: #111111; line-height: 27.2000007629395px; word-spacing: 0.100000001490116px;"><br /></span></span>
<span style="font-family: inherit;"><span style="background-color: white; color: #111111; line-height: 27.2000007629395px; word-spacing: 0.100000001490116px;">つまるところ、第一に、表示解像度が高過ぎるために元画像の表示が変わってしまう可能性がある(超解像とかありますし)こと、第二に、どうしても一旦別のデバイスに表示させた画像を再度光学読み取りしていることにより画像が変わってしまう可能性があること、そういうのを補正していると読み取り精度は逆に下る気がするのですが。</span></span><br />
<span style="font-family: inherit;"><span style="background-color: white; color: #111111; line-height: 27.2000007629395px; word-spacing: 0.100000001490116px;"><br /></span></span>
<span style="font-family: inherit;"><span style="background-color: white; color: #111111; line-height: 27.2000007629395px; word-spacing: 0.100000001490116px;">バーチャルトークンが想定しているのは、特徴点を抽出して照合しやすいランダムパターンでしょうから、自然画像を処理して使おうというこちらはまた別の技術なのかも知れません。ただ、どうもこれも宣伝文句通りではない何かを裏に抱えているような気もしますね…。</span></span>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-25308117695015193692015-02-21T23:52:00.000+09:002015-02-21T23:52:09.300+09:00パスワードをアップグレードしようまあ、いろいろ書いてますが、要するにテキストパスワードが安全な時代は戻ってこないということではあると思います。<br />
<blockquote class="tr_bq">
<a href="http://www.csoonline.com/article/2886374/password-security/password-security-time-for-an-upgrade.html" target="_blank">Password security: Time for an upgrade?</a></blockquote>
今後のセキュリティに考えられる手段は、「多要素認証」「画像パスワード」「バーチャルトークン」「次世代生体認証」だそうです。<br />
<br />
バーチャルトークンというのはあまりこれまで取り上げられなかったものだと思いますが、実際に使われているものがあるんでしょうかね…セキュリティというよりは、次世代パーティーチケットという風情ですが。<br />
<br />
ここでも心拍認証の話が出てきていますね。ここでわざわざ「次世代生体認証」というからには現世代の生体認証にはあまり信頼を置いていないということなのだと思います。心拍認証は確かに新しい方式ですし偽造しにくいのかなあという印象はあります。今後もっと画期的な技術が考案されるというのもありえないことではないとは言えます。<br />
<br />
こんなブログをやっていながら何ですが、ここに画像パスワード(Graphical Passwords)が出てくるのはちょっと意外な気もします。かなり以前からいろんな人がアイデアを出していて、実用になっているのはAndroidの9ドットDaSだけという状況を見ると、今後も「ちゃんとしたセキュリティ」としてメインストリームに出てくるような気がしないのですね。(Windows 8の画像ジェスチャは「6文字程度のパスワード」と言い切っている時点で議論の対象にならない。もちろんAndroidのDaSもiOSの4桁PINに比べればまともというレベルで、強力というわけではないですけど。)<br />
<br />
まだまだセキュリティの模索の時代は続きそうな気はします。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-81434274665498272832015-02-21T22:58:00.002+09:002015-02-21T23:11:52.524+09:00Windows 10とFIDOアライアンスFIDOアライアンスが日本で記者発表を行ったようですね。そしてWindows 10は生体認証を標準サポートし、パスワードを使わないセキュリティ設定でFIDO2.0準拠の実装に移行することを発表したようです。<br />
<br />
<blockquote class="tr_bq">
<a href="http://siliconangle.com/blog/2015/02/18/forget-your-passwords-microsoft-shifts-focus-to-biometric-authentication-in-windows-10/" target="_blank">パスワードのことは忘れよう。MicrosoftはWindows 10で生体認証へ移行する。</a></blockquote>
<br />
指紋認証については、ここに書いてあることに尽きるでしょう。<br />
<br />
<blockquote class="tr_bq">
<a href="http://www.sophos.com/ja-jp/press-office/press-releases/2013/09/ns-chaos-computer-club-claims-to-have-cracked-the-iphone-5s-fingerprint-sensor.aspx" target="_blank">Chaos Computer ClubがiPhone 5sの指紋センサーを迂回したと発表</a></blockquote>
<br />
どうも怖いのはせめてU2Fというのならいいのですが、UAFって経路と秘密情報の保管場所の保護の話しかしてなくて、生体認証自体の強度についてはあまり語っていないところ。生体認証関係のコンポーネントのメーカーが絡んでいるとすると弱点を宣伝するわけはないよねえという話はあります。<br />
<br />
<blockquote class="tr_bq">
<a href="http://oauth.jp/blog/2014/10/15/fido-alliance/" target="_blank">FIDO Alliance (OAuth.jp)</a></blockquote>
<br />
を読むと、どうもFIDOは二要素認証にはあまり積極的ではないようにも思えます。UAFは「パスワードを廃止してもっと使いやすい認証」と謳えますが、U2Fはそうではないからなのかなあという気はします。<br />
<br />
どうもセキュリティについて真剣に考えてる団体であるようには思えないんだよな…。とはいえ、FIDO2.0がどうなるかはまだ決まってない部分も多いわけなので、様子を見たいとは思うのですが。<br />
<br />
<blockquote class="tr_bq">
<a href="http://www.zdnet.com/article/one-finger-doesnt-begin-to-define-windows-10-multifactor-authentication/" target="_blank">One finger doesn't begin to define Windows 10 authentication, FIDO</a></blockquote>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-82472139564609743652015-02-07T14:29:00.000+09:002015-02-07T14:29:34.647+09:00Away-to-Lockがこれからのトレンドですかね?Chromebookなんて誰が使ってんだよ的な話はあると思うので(とはいえ日本での普及が遅いだけのような気もちょっとするけど)もう一件<br />
<br />
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<span style="font-family: inherit;"><a href="http://www.wired.com/2015/02/atama-sesame-2/" target="_blank">A Wireless Sensor That Locks Your Mac When You Walk Away</a></span></div>
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<span style="font-family: inherit; font-weight: inherit;"><br /></span></div>
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<span style="font-family: inherit; font-weight: inherit;">Macbook用、ですかね。Bluetoothでペアリングされており、距離が遠くなると自動的にロックする。アンロックは自動で行われるようにすることもできるが、システムパスワードとの二要素認証が必要になるよう設定することもできる。(つまりSesami 2を持って座った上でパスワードも正しく入力しなくてはいけない、ということ。)</span></div>
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<span style="font-family: inherit; font-weight: inherit;"><br /></span></div>
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<span style="font-family: inherit; font-weight: inherit;">今はBLEがあるので実用的には大丈夫だと思います。昔これをやろうとしたら電力消費とかいろいろ障害があったと思うので。ある意味長年あったものなんだけど環境が整ったということですかね。</span></div>
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<span style="font-family: inherit; font-weight: inherit;"><br /></span></div>
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<span style="font-family: inherit; font-weight: inherit;">Bluetoothでやるのであれば普通のスマートフォンでもできる気がするな。そういうアプリ売ってたりするのかな…。</span></div>
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<span style="font-family: inherit; font-weight: inherit;"><br /></span></div>
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<span style="font-family: inherit; font-weight: inherit;">まあ何にしても手軽さという意味ではこのトークン、悪くないとは思います。二要素認証が設定できるのは強みでしょうね。このままでソフトさえ開発すればWindowsでもChromebookでもAndroidでも使えるようになるような気がします。</span></div>
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<span style="font-family: inherit; font-weight: inherit;"><br /></span></div>
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<span style="font-family: inherit; font-weight: inherit;"><a href="https://atama.io/sesame2" target="_blank">Atama Sesame 2</a></span></div>
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<br /></div>
<div style="border: 0px; box-sizing: border-box; color: #333333; font-stretch: inherit; font-weight: inherit; line-height: 30px; margin: 0px; padding: 0px; vertical-align: baseline;">
<br /></div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-54925073067315769832015-02-01T11:58:00.001+09:002015-02-01T11:58:12.234+09:00心拍認証デバイス販売中<a href="http://htnmnm.blogspot.jp/2014/10/blog-post.html" target="_blank">心拍認証</a>を実現するデバイスが実際に発売されるようです。<br />
<br />
<a href="http://business.financialpost.com/2015/01/30/how-toronto-based-nymi-wants-to-replace-passwords-with-heart-rate-authentication/" target="_blank">トロント発Nymiはあなたの心拍でパスワードを置き換える</a><br />
<br />
もとの記事でも紹介されていたBionym社が社名を製品名「Nymi」と同じにしたのですね。<br />
<br />
<a href="https://www.nymi.com/" target="_blank">Nymi社</a>のNymi bandは現在開発者バージョン(Discovery Kit)を149ドルで販売中。同じ価格で一般ユーザーバージョンを予約受付中だそうです。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-82367297716028878742015-02-01T11:45:00.000+09:002015-02-21T23:53:34.675+09:00LollipopのSmart LockCNETの記事<br />
<br />
<a href="http://j.mp/1yVLtmB" target="_blank">ChromebookがAndroidスマートフォンでアンロックできる</a><br />
<br />
Android Wearを装着している間はAndroidスマートフォンがロックされないままで使えるようになるというSmart Lock機能が、Chromebookでも利用可能になったとのこと。Androidスマートフォンを持ったままChromebookに向かうと自動的にアンロックされるらしい。<br />
<br />
<a href="http://htnmnm.blogspot.jp/2014/12/fido-alliance.html" target="_blank">FIDOアライアンス</a>もこういうのを想定しているのでしょうかね?<br />
<br />
ちなみにLollipopのSmart Lockだと「特定の場所にいるときはロックがかからなくなる」機能も実装されているそうです。(自宅にいる時はずっとロックされずに使い続けられる機能。)<br />
<br />
利便性とセキュリティはトレードオフです。だからほんとうに安全なときくらいはロック機能を外してもいいのかなという気はします。<br />
<br />
ただ、安全だろうと思って設定していても、いつ状況が変わるかは分かりません。本当は状況を察知してロックしてくれるくらいになってくれるといいのかな。これも<a href="http://htnmnm.blogspot.jp/2014/10/gort.html" target="_blank">GORT君</a>の仕事かな。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-82578141931183253722015-02-01T11:31:00.002+09:002015-02-01T11:32:50.945+09:007インチタブレットでは画像認証は使いにくい!TechRepublicの記事です。<br />
<br />
<a href="http://j.mp/1Lok3zL" target="_blank">Windows 8.1の画像認証をやめてPINにすることにした</a><br />
<br />
ざっくり訳すと<br />
<br />
「Office Depotで99ドルで叩き売りになってたHP Stream 7を衝動買いして、使い始めてすぐに、普段使っているパスワードをタブレットのソフトキーボードで入力するのはとても面倒だと気がついた。」<br />
<br />
「そういう人のために画像認証があるんじゃないか!ということで画像認証を使い始めたのだがこれが何だかちっとも使いものにならない。どう考えても正しく入力しているのにログインに失敗することが頻繁にある。」<br />
<br />
「もっと単純にPINでログインできるようにすればいいんじゃないかと思って、iOSのPIN入力画面の画像を持ってきて画像認証に貼ってみた。」(注:この発想が普通じゃないと思うんだけど。(笑))<br />
<br />
「しかし数字ボタンの中央を正確にタップしないとやっぱり認証しない。」(注:つまり数字ボタンの画像が大きすぎたということですが。)<br />
<br />
「そこで結局あきらめてPIN認証に切り替えることにした。」(注:最初からPIN認証モードが用意されているんですね。)<br />
<br />
<a href="http://htnmnm.blogspot.jp/2014/03/window8picture-password.html" target="_blank">Microsoft/Windows 8(8.1)の画像認証について</a>は「6文字程度のパスワードに相当するセキュリティ」ということで安全性には問題があるという認識はありましたけど、認識率についてはあれだけたくさん特許を出してるんだし多少ラフになぞっても大丈夫になってるもんだと思っていました。<br />
<br />
(もちろん、あまりにもラフに認証できてしまうのは問題ですが、もともと6文字程度しかないのなら徹底的に利便性に振るのもありかとは思うのですが。)<br />
<br />
しかしTechRepublicに記事を書く人ですらこんな有り様なのでは心許ないとしか言いようがありませんね。もちろん、癖みたいなものに左右される気がしますし、根気よく慣れていけば人間のほうがキャリブレートされてしまうかもしれないのですが。<br />
<br />
画像認証がなかなか主流にならない(もちろんAndroidの9ドット認証(Draw-A-Secret)なんかは成功している部類だとは思いますが)のはこういうことがあるからなんだろうな、と改めて考えたのでありました。Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-7788167308464333852.post-8422525076259688922014-12-14T16:07:00.005+09:002014-12-14T16:11:24.808+09:00No CAPTCHA reCAPTCHA<span style="font-family: inherit;">こちらのほうが画像認証に近い話題かも知れません。</span><br />
<br />
<span style="font-family: inherit;"><a href="http://www.tomshardware.com/news/google-no-captcha-recaptcha,28161.html" target="_blank">Google Upgrades Security From 'reCAPTCHA' to 'No CAPTCHA reCAPTCHA'</a></span><br />
<span style="font-family: inherit;"><br /></span>
<span style="font-family: inherit;">CAPTCHAからあの「歪んだ文字列」を取り去ったというお話。GoogleがreCAPTCHAを改良し、「あなたは人間ですか?」という問いに「YES」と答えるだけで認証できる「人間証明システム」をリリースしました。</span><br />
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;">Googleによれば「botかどうかを判別するにはこれだけで充分」だとか。もっとも判断不能な場合には写真選択式の画像認証を要求するそうです。例示画像と「同様のもの」を選択させる任意画像複数提示選択式。</span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;">画像を漠然とした「同様のもの」で選択させるのは確かにプログラムに正解させるのはかなり難しいハードルです。ただ、写真が当たりか外れかが二値なのがちょっと厳しいかなあという気がします。例題画像に出ている「鳥の写真」っていうのは割と判別が楽な部類ではないかなという気がするのですが。</span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;">多分最初に「あなたは人間?」という質問に答えさせるのが肝腎なんではないかと思います。今やGoogleのユーザーではない人間を探すのが大変な状況ですし、アカウントを持っていなくてもGoogleを何度か繰り返し利用すればそのパターンで人間であることは判別可能だろうと思います。またreCAPTCHAのサービスそのものでもわかるように、Googleのサービスでも何でもないところを利用した場合でもバックエンドで繋がっている可能性はあり、それだけでもGoogleには情報が残ります。ということは人間であることがほぼ確実なユーザーのブラウザに目印を付けておけばその後はそれを利用できることになりますね。</span></div>
<div>
<span style="font-family: inherit;"><br /></span></div>
<div>
<span style="font-family: inherit;">Google以外が同様のサービスを構築できるのであれば画期的だとは思うのですが、安易に真似するところが出てこないことを願いたい、という気もします。</span></div>
Unknownnoreply@blogger.com0