2014年6月26日木曜日

相変わらず「知ってる写真を選べ」タイプが幅を利かせている画像認証業界

こんなのが見つかったので久しぶりに更新。今度のは「Facelock」と呼ばれているようです。

Facelock: familiarity-based graphical authentication

PeerJというのは論文投稿サイトなんですかね。四月に投稿されているようですね。

そして記事が大量に24日付で流れています。


原理的にはpassfacesとニーモニックガードの複合というところでしょうか。

そういえばpassfacesの回に「これで正解画像に知り合いの顔写真を使ったりしたら一発で破られますからね」と書きましたが、本気でそれを提案してきたというわけですか。

大きく言えば「あわせ絵」でも「当たり前の技術」として扱われていた「(何らかの意味で)本人が良く知ってる」ものの写真を選ぶ画像認証のバリエーションでしかないわけで、このタイプはもはやほとんど珍しくないと思います。

加えて言えば人間の顔を自動認識判別する技術というのはかなり高度なことができるようになっています。正直例えば私がfacelockで何か大事なシステムにログインするようにしていたとしましょう。侵入者は私が写っている写真をインターネット上で検索するでしょうね。そしてその写真に一緒に写っている人物のデータを蓄積するでしょう。そのデータを使ってfacelockの画面を解析すれば多分破れると思います。

以下に引用する記事では、「実際には近親者などでも「対象者の知人」に関する知識は驚くほど少ない(から安全)」、「むしろハードルはシステムのために写真を用意する等の準備工程にある」、というような結論を下しています。しかしブルートフォースを心配するのならこれをもっとスマートに破る方法はありますよね。

Is Facelock the password alternative we’ve been waiting for?

個人的にはこの「知ってる写真で認証」タイプはよほどの工夫を入れないと見込みが無いと思います。実装的にはハードルが低いので(ユーザー本人に写真を用意させればシステム側が用意する写真が少なくて済む)今後もなくならないのだろうなとは思いますが。