2014年11月18日火曜日

心拍認証そのに

心拍認証ですが、よく考えたら危なくないですか?

何がって、発作とか…

要するに異常事態って心拍が正常じゃないから異常事態なんで…

スマフォで119に電話することが…まあロック画面から緊急通話できるからいいのか。

しかしまあ、軽い心筋梗塞とかで苦しいときにロック解除できないとしたら、やっぱり怖いですよね。

どうするんだろう。さすがに対策が用意されてないとは思いたくないけど。

2014年10月5日日曜日

心拍認証

もう一つ拾い物ネタ
Passwords could be replaced with 'heartbeat' authentication
最近はこういう形の活動計が普通になってきましたが、これを「心拍」ベースの認証に使おうというお話。

心拍って認証に使えるのかな。確かに私心電図に特定のノイズがあるらしく昔は健康診断で引っかかっていたものです。症例としては一般的でも細かくパターンを見れば特有なのかな。でも精密な心電図が取れる機器とも思えないので…どんな仕組みなんでしょうね。

他のバイオメトリック認証と比較すると結構良さそうかも?偽装しにくそうだし…。

GORT

ちょっと面白い記事がありましたのでご紹介します。Scientific Americanのゲストブログです。筆者はGreg Blonder。
A Guardian “Agent” to Protect You from Digital Fraud
…あ、LucentのBlonder特許を書いたその人じゃないですか。(「画像認証カタログその2」もご参照ください。)

内容としてはセキュリティエージェントのお話。個々人の求めるプライバシーレベルを設定しておくと、SNS等のプライバシーポリシーや設定を参照して自動的に調整してくれる。たとえば、いきなりfacebookが「妙な」新機能を実装公開して、とたんに何か困った設定に変わってしまっていたら、それを検知して設定変更してくれる。何らかのアクティビティ(投稿やメール)を起こそうとするとその内容が公開範囲等に照らし合わせて適切か検証して、問題がありそうであれば警告してくれる。メーリングリスト宛に問題があるような内容を送信しようとしたら通知を返してくれる。…などなどの仕組みを備えたものだそうです。

…というようなソフトウェアが現在あるというわけではなく、
Thus I imagine the next step in privacy control will be a user agent that lives in the cloud and acts to protect your digital life and property autonomously
という話でした。でもまあ、こういうのが必要なんでしょうね。相当面倒そうですが、今ならちゃんと作れば作れるのかも知れませんね。

2014年8月17日日曜日

行動パターンベース認証

ちょっとオフトピックですが、先日Paypal経由で買い物をしようとしたところPaypal様に「このアクティビティはあなたの通常のパターンにあてはまりません」と言われてしまい保留にされてしまいました。

こうなるとすごく面倒でもう一度本人確認して正常に使えるようになるまでにずいぶんと手間がかかります。

パスワードを廃止して本人かどうかを認証する手段として行動パターンとかキータイプの癖とかを使おうという議論が一部にありますが、こういうことが頻発するような時代になると相当に不便になることでしょう。

文字ベースのパスワードの問題はずっと議論されていますが、今になって「複雑なパスワードだからセキュリティが高いわけではない」「パスワードを頻繁に変更してもセキュリティは改善しない」のような今まで言われていたのと違う結果が出始めているので、もはや何を信じていいのかすらわかりません。

画像認証が良い対案であるような喧伝をしている方も世の中にはいますが、どうしてもこういうのは自分が思い付いたアイデアに甘くなる傾向があります。

某M.G.社のブログなどを読んでいますと、自社方式以外に対する批判は的確なのですが、どうしても自社方式を代替案に推すような我田引水な論理展開が目に付いてしまいます。

できればこのブログはそんな風になりたくないものだと思っていたりします。

2014年6月26日木曜日

相変わらず「知ってる写真を選べ」タイプが幅を利かせている画像認証業界

こんなのが見つかったので久しぶりに更新。今度のは「Facelock」と呼ばれているようです。

Facelock: familiarity-based graphical authentication

PeerJというのは論文投稿サイトなんですかね。四月に投稿されているようですね。

そして記事が大量に24日付で流れています。


原理的にはpassfacesとニーモニックガードの複合というところでしょうか。

そういえばpassfacesの回に「これで正解画像に知り合いの顔写真を使ったりしたら一発で破られますからね」と書きましたが、本気でそれを提案してきたというわけですか。

大きく言えば「あわせ絵」でも「当たり前の技術」として扱われていた「(何らかの意味で)本人が良く知ってる」ものの写真を選ぶ画像認証のバリエーションでしかないわけで、このタイプはもはやほとんど珍しくないと思います。

加えて言えば人間の顔を自動認識判別する技術というのはかなり高度なことができるようになっています。正直例えば私がfacelockで何か大事なシステムにログインするようにしていたとしましょう。侵入者は私が写っている写真をインターネット上で検索するでしょうね。そしてその写真に一緒に写っている人物のデータを蓄積するでしょう。そのデータを使ってfacelockの画面を解析すれば多分破れると思います。

以下に引用する記事では、「実際には近親者などでも「対象者の知人」に関する知識は驚くほど少ない(から安全)」、「むしろハードルはシステムのために写真を用意する等の準備工程にある」、というような結論を下しています。しかしブルートフォースを心配するのならこれをもっとスマートに破る方法はありますよね。

Is Facelock the password alternative we’ve been waiting for?

個人的にはこの「知ってる写真で認証」タイプはよほどの工夫を入れないと見込みが無いと思います。実装的にはハードルが低いので(ユーザー本人に写真を用意させればシステム側が用意する写真が少なくて済む)今後もなくならないのだろうなとは思いますが。

2014年3月17日月曜日

画像認証カタログその11:LockTile

インフォファームさんのLockTile(写ロック)
http://www.infofarm.co.jp/shalock/


これも並べてある写真のなかから正解画像を選択することで認証するものです。

この種の製品は各社がリリースしておられるようですね。

画像認証カタログその10:SECUREMATRIX

CSEさんのSECUREMATRIXはこういう方式です。


四種類の図形を決めておいてそのパターンに沿って数字を入力するということだそうです。ワンタイムパスワードという扱いですがパターンを記憶する認証ということではDASにもちょっと似ていますね。