2014年12月14日日曜日

No CAPTCHA reCAPTCHA

こちらのほうが画像認証に近い話題かも知れません。

Google Upgrades Security From 'reCAPTCHA' to 'No CAPTCHA reCAPTCHA'

CAPTCHAからあの「歪んだ文字列」を取り去ったというお話。GoogleがreCAPTCHAを改良し、「あなたは人間ですか?」という問いに「YES」と答えるだけで認証できる「人間証明システム」をリリースしました。

Googleによれば「botかどうかを判別するにはこれだけで充分」だとか。もっとも判断不能な場合には写真選択式の画像認証を要求するそうです。例示画像と「同様のもの」を選択させる任意画像複数提示選択式。

画像を漠然とした「同様のもの」で選択させるのは確かにプログラムに正解させるのはかなり難しいハードルです。ただ、写真が当たりか外れかが二値なのがちょっと厳しいかなあという気がします。例題画像に出ている「鳥の写真」っていうのは割と判別が楽な部類ではないかなという気がするのですが。

多分最初に「あなたは人間?」という質問に答えさせるのが肝腎なんではないかと思います。今やGoogleのユーザーではない人間を探すのが大変な状況ですし、アカウントを持っていなくてもGoogleを何度か繰り返し利用すればそのパターンで人間であることは判別可能だろうと思います。またreCAPTCHAのサービスそのものでもわかるように、Googleのサービスでも何でもないところを利用した場合でもバックエンドで繋がっている可能性はあり、それだけでもGoogleには情報が残ります。ということは人間であることがほぼ確実なユーザーのブラウザに目印を付けておけばその後はそれを利用できることになりますね。

Google以外が同様のサービスを構築できるのであれば画期的だとは思うのですが、安易に真似するところが出てこないことを願いたい、という気もします。

FIDO Alliance

こんな記事を発見。

Saying Goodbye And Good Riddance to Passwords

複数のファクターによる認証を組み合わせてユーザーの負担を軽くしつつセキュリティを強化する仕組を提案しているとの話です。FIDO Allianceは様々な業種の150社が参加している団体だそうです。Phil DunkelbergerPGP Corporationの共同創業者。PGPを開発したのはPhil Zimmermann

ドングルや指紋認証、その他いろんなものを組み合わせて、公開鍵方式で保護すれば十分安全ということのようです。ホントかな…。ちょっと心配ですが、今後普及すれば、少なくとも極端に複雑なパスワードが不要とされ、それ故の安易なパスワードが使用されるケースや、単一のパスワードが使いまわされる事例が減少する、ということは期待してもいいのかも知れません。

画像認証とは直接は関係ありませんが、認証系の話題は結構いろいろありますね。