2014年12月14日日曜日

No CAPTCHA reCAPTCHA

こちらのほうが画像認証に近い話題かも知れません。

Google Upgrades Security From 'reCAPTCHA' to 'No CAPTCHA reCAPTCHA'

CAPTCHAからあの「歪んだ文字列」を取り去ったというお話。GoogleがreCAPTCHAを改良し、「あなたは人間ですか?」という問いに「YES」と答えるだけで認証できる「人間証明システム」をリリースしました。

Googleによれば「botかどうかを判別するにはこれだけで充分」だとか。もっとも判断不能な場合には写真選択式の画像認証を要求するそうです。例示画像と「同様のもの」を選択させる任意画像複数提示選択式。

画像を漠然とした「同様のもの」で選択させるのは確かにプログラムに正解させるのはかなり難しいハードルです。ただ、写真が当たりか外れかが二値なのがちょっと厳しいかなあという気がします。例題画像に出ている「鳥の写真」っていうのは割と判別が楽な部類ではないかなという気がするのですが。

多分最初に「あなたは人間?」という質問に答えさせるのが肝腎なんではないかと思います。今やGoogleのユーザーではない人間を探すのが大変な状況ですし、アカウントを持っていなくてもGoogleを何度か繰り返し利用すればそのパターンで人間であることは判別可能だろうと思います。またreCAPTCHAのサービスそのものでもわかるように、Googleのサービスでも何でもないところを利用した場合でもバックエンドで繋がっている可能性はあり、それだけでもGoogleには情報が残ります。ということは人間であることがほぼ確実なユーザーのブラウザに目印を付けておけばその後はそれを利用できることになりますね。

Google以外が同様のサービスを構築できるのであれば画期的だとは思うのですが、安易に真似するところが出てこないことを願いたい、という気もします。

FIDO Alliance

こんな記事を発見。

Saying Goodbye And Good Riddance to Passwords

複数のファクターによる認証を組み合わせてユーザーの負担を軽くしつつセキュリティを強化する仕組を提案しているとの話です。FIDO Allianceは様々な業種の150社が参加している団体だそうです。Phil DunkelbergerPGP Corporationの共同創業者。PGPを開発したのはPhil Zimmermann

ドングルや指紋認証、その他いろんなものを組み合わせて、公開鍵方式で保護すれば十分安全ということのようです。ホントかな…。ちょっと心配ですが、今後普及すれば、少なくとも極端に複雑なパスワードが不要とされ、それ故の安易なパスワードが使用されるケースや、単一のパスワードが使いまわされる事例が減少する、ということは期待してもいいのかも知れません。

画像認証とは直接は関係ありませんが、認証系の話題は結構いろいろありますね。

2014年11月18日火曜日

心拍認証そのに

心拍認証ですが、よく考えたら危なくないですか?

何がって、発作とか…

要するに異常事態って心拍が正常じゃないから異常事態なんで…

スマフォで119に電話することが…まあロック画面から緊急通話できるからいいのか。

しかしまあ、軽い心筋梗塞とかで苦しいときにロック解除できないとしたら、やっぱり怖いですよね。

どうするんだろう。さすがに対策が用意されてないとは思いたくないけど。

2014年10月5日日曜日

心拍認証

もう一つ拾い物ネタ
Passwords could be replaced with 'heartbeat' authentication
最近はこういう形の活動計が普通になってきましたが、これを「心拍」ベースの認証に使おうというお話。

心拍って認証に使えるのかな。確かに私心電図に特定のノイズがあるらしく昔は健康診断で引っかかっていたものです。症例としては一般的でも細かくパターンを見れば特有なのかな。でも精密な心電図が取れる機器とも思えないので…どんな仕組みなんでしょうね。

他のバイオメトリック認証と比較すると結構良さそうかも?偽装しにくそうだし…。

GORT

ちょっと面白い記事がありましたのでご紹介します。Scientific Americanのゲストブログです。筆者はGreg Blonder。
A Guardian “Agent” to Protect You from Digital Fraud
…あ、LucentのBlonder特許を書いたその人じゃないですか。(「画像認証カタログその2」もご参照ください。)

内容としてはセキュリティエージェントのお話。個々人の求めるプライバシーレベルを設定しておくと、SNS等のプライバシーポリシーや設定を参照して自動的に調整してくれる。たとえば、いきなりfacebookが「妙な」新機能を実装公開して、とたんに何か困った設定に変わってしまっていたら、それを検知して設定変更してくれる。何らかのアクティビティ(投稿やメール)を起こそうとするとその内容が公開範囲等に照らし合わせて適切か検証して、問題がありそうであれば警告してくれる。メーリングリスト宛に問題があるような内容を送信しようとしたら通知を返してくれる。…などなどの仕組みを備えたものだそうです。

…というようなソフトウェアが現在あるというわけではなく、
Thus I imagine the next step in privacy control will be a user agent that lives in the cloud and acts to protect your digital life and property autonomously
という話でした。でもまあ、こういうのが必要なんでしょうね。相当面倒そうですが、今ならちゃんと作れば作れるのかも知れませんね。

2014年8月17日日曜日

行動パターンベース認証

ちょっとオフトピックですが、先日Paypal経由で買い物をしようとしたところPaypal様に「このアクティビティはあなたの通常のパターンにあてはまりません」と言われてしまい保留にされてしまいました。

こうなるとすごく面倒でもう一度本人確認して正常に使えるようになるまでにずいぶんと手間がかかります。

パスワードを廃止して本人かどうかを認証する手段として行動パターンとかキータイプの癖とかを使おうという議論が一部にありますが、こういうことが頻発するような時代になると相当に不便になることでしょう。

文字ベースのパスワードの問題はずっと議論されていますが、今になって「複雑なパスワードだからセキュリティが高いわけではない」「パスワードを頻繁に変更してもセキュリティは改善しない」のような今まで言われていたのと違う結果が出始めているので、もはや何を信じていいのかすらわかりません。

画像認証が良い対案であるような喧伝をしている方も世の中にはいますが、どうしてもこういうのは自分が思い付いたアイデアに甘くなる傾向があります。

某M.G.社のブログなどを読んでいますと、自社方式以外に対する批判は的確なのですが、どうしても自社方式を代替案に推すような我田引水な論理展開が目に付いてしまいます。

できればこのブログはそんな風になりたくないものだと思っていたりします。

2014年6月26日木曜日

相変わらず「知ってる写真を選べ」タイプが幅を利かせている画像認証業界

こんなのが見つかったので久しぶりに更新。今度のは「Facelock」と呼ばれているようです。

Facelock: familiarity-based graphical authentication

PeerJというのは論文投稿サイトなんですかね。四月に投稿されているようですね。

そして記事が大量に24日付で流れています。


原理的にはpassfacesとニーモニックガードの複合というところでしょうか。

そういえばpassfacesの回に「これで正解画像に知り合いの顔写真を使ったりしたら一発で破られますからね」と書きましたが、本気でそれを提案してきたというわけですか。

大きく言えば「あわせ絵」でも「当たり前の技術」として扱われていた「(何らかの意味で)本人が良く知ってる」ものの写真を選ぶ画像認証のバリエーションでしかないわけで、このタイプはもはやほとんど珍しくないと思います。

加えて言えば人間の顔を自動認識判別する技術というのはかなり高度なことができるようになっています。正直例えば私がfacelockで何か大事なシステムにログインするようにしていたとしましょう。侵入者は私が写っている写真をインターネット上で検索するでしょうね。そしてその写真に一緒に写っている人物のデータを蓄積するでしょう。そのデータを使ってfacelockの画面を解析すれば多分破れると思います。

以下に引用する記事では、「実際には近親者などでも「対象者の知人」に関する知識は驚くほど少ない(から安全)」、「むしろハードルはシステムのために写真を用意する等の準備工程にある」、というような結論を下しています。しかしブルートフォースを心配するのならこれをもっとスマートに破る方法はありますよね。

Is Facelock the password alternative we’ve been waiting for?

個人的にはこの「知ってる写真で認証」タイプはよほどの工夫を入れないと見込みが無いと思います。実装的にはハードルが低いので(ユーザー本人に写真を用意させればシステム側が用意する写真が少なくて済む)今後もなくならないのだろうなとは思いますが。

2014年3月17日月曜日

画像認証カタログその11:LockTile

インフォファームさんのLockTile(写ロック)
http://www.infofarm.co.jp/shalock/


これも並べてある写真のなかから正解画像を選択することで認証するものです。

この種の製品は各社がリリースしておられるようですね。

画像認証カタログその10:SECUREMATRIX

CSEさんのSECUREMATRIXはこういう方式です。


四種類の図形を決めておいてそのパターンに沿って数字を入力するということだそうです。ワンタイムパスワードという扱いですがパターンを記憶する認証ということではDASにもちょっと似ていますね。

画像認証カタログその9:WisePoint

WisePoint社さんはいくつかの認証方法を提供しているようです。
http://wisepoint.jp/wpseries/ninsho-housiki.html

画像認証に分類されるのはこれかな


マトリクスコード方式はいまはいろんなオンラインバンキングとかで使われているのでおなじみですね。Jパスワード方式は最近も話題になっている「秘密の質問」方式ですね。

画像認証カタログその8:Androidのロックスクリーン

iPhoneのスクリーンロックの解除はPIN(4桁の数字)ですが、Androidのはある時期から3×3のドットをなぞる方式になっていますね。


このアップロードが2008年ですね。この図形をなぞる方式はDraw-A-Secretと呼ばれるものの一種です。これも画像認証に分類されています。

ちなみに背景に画像を貼ってその上でなぞるのがWindows 8のPicture Passwordです。(その6参照)これもDraw-A-Secretの一種です。Passpointが座標だったのからするとジェスチャーに進化しているということになります。

画像認証カタログその7:ニーモニックガード

ニーモニックガード社のニーモニックガードです。
http://www.mneme.co.jp/index_net.html


こういうやつです。左は「自分の想い出の写真」を使うバージョン。右は「自分の体験に沿ってシンボルを選ぶ」バージョンです。右は「京都で自転車で犬を散歩してその後コーヒーを飲む」というストーリーだそうです。

基本的にはこれも「選んだ写真をグリッドの中から選ぶ」パターンですね。

2014年3月16日日曜日

画像認証カタログその6:Window8のPicture Password

Windows 8の画像認証はみなさんこの写真ですっかりおなじみでしょう


もうすっかりこのみんなは私の家族みたいな感覚になっています。娘さんの鼻の頭を…いやなんでもないです。

で、この「ピクチャ パスワードを使ってサインインする」(英語版はこちら)というブログは…これシノフスキーさん直々のエントリーなのか。

で、
私たちは、ピクチャ パスワードを使うために必要になるジェスチャの数を調べるに当たり、セキュリティ、覚えやすさ、スピードを考慮しました。十分な安全性を確保しつつ最適なユーザー エクスペリエンスを実現するために、これらの矛盾しがちな属性間のバランスをとることに心を砕きました。
とか、
ピクチャ パスワードの設計を開始するときに、私たちは、すばやく滑らかで、すべての Windows 8 ユーザーにとってパーソナルなものでありながら、セキュリティも申し分ないサインイン方法を開発したいと考えました。調査を実施し、エクスペリエンスと概念に磨きをかける中で、安全でありながら、楽しく使えるサインイン方法に巡り合ったと思います。
書いてありますね。

Microsoftからもいろいろと宣伝されています。

MSNの「Windows 8完全ガイド」に掲載されている「次世代セキュリティ「ピクチャーパスワード」」によれば「6桁のパスワードに匹敵する」セキュリティだそうです。まあこの認識はほぼほぼ正しいというか、6文字のパスワードってすごく不安なんですけど…。

世の中には「Windowsの画像認証はクラックされやすい」という記事があふれていますが、これって要するに「そんなことはとっくに告知済み」なのかも知れません。「承知の上で使ってね(はあと)」っていうことか。

上記の(いまは退社してしまった)シノフスキーブログでも
ご覧のとおり、3 つのジェスチャを使うと、一意のジェスチャの組み合わせを多数作成でき、ランダムに選んだ 5 または 6 文字のパスワードと同程度のセキュリティを期待できます。また、使うジェスチャが 3 つであれば、覚えやすく、すばやく使えるピクチャ パスワードを作成できます。
と書いてありますね。

いっぽうで指の操作痕からパスワードを特定されてしまう危険性については過剰なくらい「明らかにこのようなことが起きる可能性は低いですが」という説明をしていますし、

画像内の特徴点が(女性の鼻の頭とか!)きっかけでクラックされてしまう危険性も「私たちが実施した調査では、このような攻撃はきわめて信頼性が低いことが示されていますが (ラボでは、選択された領域と、その領域に対して使われたジェスチャの種類には、相関関係はあまりありませんでした)」と書いて「そんな心配は無用」と匂わせています。

いやいやそれはないだろう、と思ってしまいますが…そもそもオンラインのMicrosoftアカウントと一体化しているのにそれで大丈夫なんでしょうか。どうもお手軽側に振り過ぎですよね。ユーザーにセキュリティについて不当に軽い印象を与えてしまうんじゃないかというのも心配ですし。

サインインにも個性が発揮できます!」ってお前それでいいのか…。

各所の記事を読むと基本特許はこれとされている模様(USP8024775)
https://www.google.com/patents/US8024775

ほかにもMicrosoftの画像認証特許はいくつかありますが、ジェスチャーの一致判定系が重点的にカバーされているような印象です。つまりラフになぞったものと実際の登録されたジェスチャーがどのくらい同一である可能性があるかをきちんと判定する部分ですね。これは実際にOSを売って商売をしている企業としては当然なのでしょうね。