2014年12月14日日曜日

No CAPTCHA reCAPTCHA

こちらのほうが画像認証に近い話題かも知れません。

Google Upgrades Security From 'reCAPTCHA' to 'No CAPTCHA reCAPTCHA'

CAPTCHAからあの「歪んだ文字列」を取り去ったというお話。GoogleがreCAPTCHAを改良し、「あなたは人間ですか?」という問いに「YES」と答えるだけで認証できる「人間証明システム」をリリースしました。

Googleによれば「botかどうかを判別するにはこれだけで充分」だとか。もっとも判断不能な場合には写真選択式の画像認証を要求するそうです。例示画像と「同様のもの」を選択させる任意画像複数提示選択式。

画像を漠然とした「同様のもの」で選択させるのは確かにプログラムに正解させるのはかなり難しいハードルです。ただ、写真が当たりか外れかが二値なのがちょっと厳しいかなあという気がします。例題画像に出ている「鳥の写真」っていうのは割と判別が楽な部類ではないかなという気がするのですが。

多分最初に「あなたは人間?」という質問に答えさせるのが肝腎なんではないかと思います。今やGoogleのユーザーではない人間を探すのが大変な状況ですし、アカウントを持っていなくてもGoogleを何度か繰り返し利用すればそのパターンで人間であることは判別可能だろうと思います。またreCAPTCHAのサービスそのものでもわかるように、Googleのサービスでも何でもないところを利用した場合でもバックエンドで繋がっている可能性はあり、それだけでもGoogleには情報が残ります。ということは人間であることがほぼ確実なユーザーのブラウザに目印を付けておけばその後はそれを利用できることになりますね。

Google以外が同様のサービスを構築できるのであれば画期的だとは思うのですが、安易に真似するところが出てこないことを願いたい、という気もします。

FIDO Alliance

こんな記事を発見。

Saying Goodbye And Good Riddance to Passwords

複数のファクターによる認証を組み合わせてユーザーの負担を軽くしつつセキュリティを強化する仕組を提案しているとの話です。FIDO Allianceは様々な業種の150社が参加している団体だそうです。Phil DunkelbergerPGP Corporationの共同創業者。PGPを開発したのはPhil Zimmermann

ドングルや指紋認証、その他いろんなものを組み合わせて、公開鍵方式で保護すれば十分安全ということのようです。ホントかな…。ちょっと心配ですが、今後普及すれば、少なくとも極端に複雑なパスワードが不要とされ、それ故の安易なパスワードが使用されるケースや、単一のパスワードが使いまわされる事例が減少する、ということは期待してもいいのかも知れません。

画像認証とは直接は関係ありませんが、認証系の話題は結構いろいろありますね。

2014年11月18日火曜日

心拍認証そのに

心拍認証ですが、よく考えたら危なくないですか?

何がって、発作とか…

要するに異常事態って心拍が正常じゃないから異常事態なんで…

スマフォで119に電話することが…まあロック画面から緊急通話できるからいいのか。

しかしまあ、軽い心筋梗塞とかで苦しいときにロック解除できないとしたら、やっぱり怖いですよね。

どうするんだろう。さすがに対策が用意されてないとは思いたくないけど。

2014年10月5日日曜日

心拍認証

もう一つ拾い物ネタ
Passwords could be replaced with 'heartbeat' authentication
最近はこういう形の活動計が普通になってきましたが、これを「心拍」ベースの認証に使おうというお話。

心拍って認証に使えるのかな。確かに私心電図に特定のノイズがあるらしく昔は健康診断で引っかかっていたものです。症例としては一般的でも細かくパターンを見れば特有なのかな。でも精密な心電図が取れる機器とも思えないので…どんな仕組みなんでしょうね。

他のバイオメトリック認証と比較すると結構良さそうかも?偽装しにくそうだし…。

GORT

ちょっと面白い記事がありましたのでご紹介します。Scientific Americanのゲストブログです。筆者はGreg Blonder。
A Guardian “Agent” to Protect You from Digital Fraud
…あ、LucentのBlonder特許を書いたその人じゃないですか。(「画像認証カタログその2」もご参照ください。)

内容としてはセキュリティエージェントのお話。個々人の求めるプライバシーレベルを設定しておくと、SNS等のプライバシーポリシーや設定を参照して自動的に調整してくれる。たとえば、いきなりfacebookが「妙な」新機能を実装公開して、とたんに何か困った設定に変わってしまっていたら、それを検知して設定変更してくれる。何らかのアクティビティ(投稿やメール)を起こそうとするとその内容が公開範囲等に照らし合わせて適切か検証して、問題がありそうであれば警告してくれる。メーリングリスト宛に問題があるような内容を送信しようとしたら通知を返してくれる。…などなどの仕組みを備えたものだそうです。

…というようなソフトウェアが現在あるというわけではなく、
Thus I imagine the next step in privacy control will be a user agent that lives in the cloud and acts to protect your digital life and property autonomously
という話でした。でもまあ、こういうのが必要なんでしょうね。相当面倒そうですが、今ならちゃんと作れば作れるのかも知れませんね。

2014年8月17日日曜日

行動パターンベース認証

ちょっとオフトピックですが、先日Paypal経由で買い物をしようとしたところPaypal様に「このアクティビティはあなたの通常のパターンにあてはまりません」と言われてしまい保留にされてしまいました。

こうなるとすごく面倒でもう一度本人確認して正常に使えるようになるまでにずいぶんと手間がかかります。

パスワードを廃止して本人かどうかを認証する手段として行動パターンとかキータイプの癖とかを使おうという議論が一部にありますが、こういうことが頻発するような時代になると相当に不便になることでしょう。

文字ベースのパスワードの問題はずっと議論されていますが、今になって「複雑なパスワードだからセキュリティが高いわけではない」「パスワードを頻繁に変更してもセキュリティは改善しない」のような今まで言われていたのと違う結果が出始めているので、もはや何を信じていいのかすらわかりません。

画像認証が良い対案であるような喧伝をしている方も世の中にはいますが、どうしてもこういうのは自分が思い付いたアイデアに甘くなる傾向があります。

某M.G.社のブログなどを読んでいますと、自社方式以外に対する批判は的確なのですが、どうしても自社方式を代替案に推すような我田引水な論理展開が目に付いてしまいます。

できればこのブログはそんな風になりたくないものだと思っていたりします。

2014年6月26日木曜日

相変わらず「知ってる写真を選べ」タイプが幅を利かせている画像認証業界

こんなのが見つかったので久しぶりに更新。今度のは「Facelock」と呼ばれているようです。

Facelock: familiarity-based graphical authentication

PeerJというのは論文投稿サイトなんですかね。四月に投稿されているようですね。

そして記事が大量に24日付で流れています。


原理的にはpassfacesとニーモニックガードの複合というところでしょうか。

そういえばpassfacesの回に「これで正解画像に知り合いの顔写真を使ったりしたら一発で破られますからね」と書きましたが、本気でそれを提案してきたというわけですか。

大きく言えば「あわせ絵」でも「当たり前の技術」として扱われていた「(何らかの意味で)本人が良く知ってる」ものの写真を選ぶ画像認証のバリエーションでしかないわけで、このタイプはもはやほとんど珍しくないと思います。

加えて言えば人間の顔を自動認識判別する技術というのはかなり高度なことができるようになっています。正直例えば私がfacelockで何か大事なシステムにログインするようにしていたとしましょう。侵入者は私が写っている写真をインターネット上で検索するでしょうね。そしてその写真に一緒に写っている人物のデータを蓄積するでしょう。そのデータを使ってfacelockの画面を解析すれば多分破れると思います。

以下に引用する記事では、「実際には近親者などでも「対象者の知人」に関する知識は驚くほど少ない(から安全)」、「むしろハードルはシステムのために写真を用意する等の準備工程にある」、というような結論を下しています。しかしブルートフォースを心配するのならこれをもっとスマートに破る方法はありますよね。

Is Facelock the password alternative we’ve been waiting for?

個人的にはこの「知ってる写真で認証」タイプはよほどの工夫を入れないと見込みが無いと思います。実装的にはハードルが低いので(ユーザー本人に写真を用意させればシステム側が用意する写真が少なくて済む)今後もなくならないのだろうなとは思いますが。