2015年2月25日水曜日

子供たちのパスワード問題

OLPC(One Laptop Per Child)というプロジェクトがあります。子供ひとりに一台のコンピュータを、というプロジェクトです。ここ数日の報道ではXO-Infinityという新型の開発を発表したことが取り上げられています。
OLPCの新型 XO-infinity 発表、子供と成長するモジュラー型コンバーチブルタブレット
このデバイスそのものが主題ではありません。このサイトを訪問して記事を読んでいて気がついたのがこれです。
Teacher, I can’t forget my password. - Solving the password problem for our schools
子供にパスワードを覚えておくようにと言っても難しいでしょう。一般的には教師が子供たちのユーザー名とパスワードを一覧にした紙を持っていて対処するようです。しかしプライバシーやセキュリティが守られるにこしたことはありませんよね。ではどうやって…。

もちろん、この方式は教室の中で、信頼に結ばれた師弟の間でしか通用しないものです。でもちょっとだけ、未来のパスワード、についてのヒントが含まれているような気がします。もちろん、子供たちはパスワードの意味や重要性を理解できていないからこうなるのです。では我々はパスワードの意味や重要性をどれくらい理解できているのでしょうね。

2015年2月22日日曜日

Passage

おっと「バーチャルトークン」と近いのかなこれ。

面倒なパスワード入力が不要に!「Passage」の画像認証で楽々ログイン

「パソコンのカメラの前に、設定してあった画像を提示する」
「Passage」の画像認証アルゴリズムは、画像のわずかな違いをも検出する。人の目では差異が見分けられないようなレベルも判別するため、安心である。」

ツッコミどころその一は、カメラを備えている機器とは別の画像を取り出すためのデバイスがもう一つ必要というところ。これは見たところスマートフォンのアプリのようなので、もう一台のスマートフォンとかタブレットとかWebカメラ内蔵パソコンとかで認証するときに使うことになるわけですね。それってどうなんでしょうか。スマートフォン一台しか持ってない人、いると思いますけどね。

ツッコミどころその二は、パソコンに搭載されているWebカメラって今でもそんなに解像度高くない気がするんですけど…。「人の目では差異が見分けられないようなレベルを判別」するのはそんなに簡単ではないと思います。表示する側も…まあ今のスマートフォンの解像度なら一応充分ではあるかも知れませんが…。

つまるところ、第一に、表示解像度が高過ぎるために元画像の表示が変わってしまう可能性がある(超解像とかありますし)こと、第二に、どうしても一旦別のデバイスに表示させた画像を再度光学読み取りしていることにより画像が変わってしまう可能性があること、そういうのを補正していると読み取り精度は逆に下る気がするのですが。

バーチャルトークンが想定しているのは、特徴点を抽出して照合しやすいランダムパターンでしょうから、自然画像を処理して使おうというこちらはまた別の技術なのかも知れません。ただ、どうもこれも宣伝文句通りではない何かを裏に抱えているような気もしますね…。

2015年2月21日土曜日

パスワードをアップグレードしよう

まあ、いろいろ書いてますが、要するにテキストパスワードが安全な時代は戻ってこないということではあると思います。
Password security: Time for an upgrade?
今後のセキュリティに考えられる手段は、「多要素認証」「画像パスワード」「バーチャルトークン」「次世代生体認証」だそうです。

バーチャルトークンというのはあまりこれまで取り上げられなかったものだと思いますが、実際に使われているものがあるんでしょうかね…セキュリティというよりは、次世代パーティーチケットという風情ですが。

ここでも心拍認証の話が出てきていますね。ここでわざわざ「次世代生体認証」というからには現世代の生体認証にはあまり信頼を置いていないということなのだと思います。心拍認証は確かに新しい方式ですし偽造しにくいのかなあという印象はあります。今後もっと画期的な技術が考案されるというのもありえないことではないとは言えます。

こんなブログをやっていながら何ですが、ここに画像パスワード(Graphical Passwords)が出てくるのはちょっと意外な気もします。かなり以前からいろんな人がアイデアを出していて、実用になっているのはAndroidの9ドットDaSだけという状況を見ると、今後も「ちゃんとしたセキュリティ」としてメインストリームに出てくるような気がしないのですね。(Windows 8の画像ジェスチャは「6文字程度のパスワード」と言い切っている時点で議論の対象にならない。もちろんAndroidのDaSもiOSの4桁PINに比べればまともというレベルで、強力というわけではないですけど。)

まだまだセキュリティの模索の時代は続きそうな気はします。

Windows 10とFIDOアライアンス

FIDOアライアンスが日本で記者発表を行ったようですね。そしてWindows 10は生体認証を標準サポートし、パスワードを使わないセキュリティ設定でFIDO2.0準拠の実装に移行することを発表したようです。

パスワードのことは忘れよう。MicrosoftはWindows 10で生体認証へ移行する。

指紋認証については、ここに書いてあることに尽きるでしょう。

Chaos Computer ClubがiPhone 5sの指紋センサーを迂回したと発表

どうも怖いのはせめてU2Fというのならいいのですが、UAFって経路と秘密情報の保管場所の保護の話しかしてなくて、生体認証自体の強度についてはあまり語っていないところ。生体認証関係のコンポーネントのメーカーが絡んでいるとすると弱点を宣伝するわけはないよねえという話はあります。

FIDO Alliance (OAuth.jp)

を読むと、どうもFIDOは二要素認証にはあまり積極的ではないようにも思えます。UAFは「パスワードを廃止してもっと使いやすい認証」と謳えますが、U2Fはそうではないからなのかなあという気はします。

どうもセキュリティについて真剣に考えてる団体であるようには思えないんだよな…。とはいえ、FIDO2.0がどうなるかはまだ決まってない部分も多いわけなので、様子を見たいとは思うのですが。

One finger doesn't begin to define Windows 10 authentication, FIDO

2015年2月7日土曜日

Away-to-Lockがこれからのトレンドですかね?

Chromebookなんて誰が使ってんだよ的な話はあると思うので(とはいえ日本での普及が遅いだけのような気もちょっとするけど)もう一件


Macbook用、ですかね。Bluetoothでペアリングされており、距離が遠くなると自動的にロックする。アンロックは自動で行われるようにすることもできるが、システムパスワードとの二要素認証が必要になるよう設定することもできる。(つまりSesami 2を持って座った上でパスワードも正しく入力しなくてはいけない、ということ。)

今はBLEがあるので実用的には大丈夫だと思います。昔これをやろうとしたら電力消費とかいろいろ障害があったと思うので。ある意味長年あったものなんだけど環境が整ったということですかね。

Bluetoothでやるのであれば普通のスマートフォンでもできる気がするな。そういうアプリ売ってたりするのかな…。

まあ何にしても手軽さという意味ではこのトークン、悪くないとは思います。二要素認証が設定できるのは強みでしょうね。このままでソフトさえ開発すればWindowsでもChromebookでもAndroidでも使えるようになるような気がします。



2015年2月1日日曜日

心拍認証デバイス販売中

心拍認証を実現するデバイスが実際に発売されるようです。

トロント発Nymiはあなたの心拍でパスワードを置き換える

もとの記事でも紹介されていたBionym社が社名を製品名「Nymi」と同じにしたのですね。

Nymi社のNymi bandは現在開発者バージョン(Discovery Kit)を149ドルで販売中。同じ価格で一般ユーザーバージョンを予約受付中だそうです。

LollipopのSmart Lock

CNETの記事

ChromebookがAndroidスマートフォンでアンロックできる

Android Wearを装着している間はAndroidスマートフォンがロックされないままで使えるようになるというSmart Lock機能が、Chromebookでも利用可能になったとのこと。Androidスマートフォンを持ったままChromebookに向かうと自動的にアンロックされるらしい。

FIDOアライアンスもこういうのを想定しているのでしょうかね?

ちなみにLollipopのSmart Lockだと「特定の場所にいるときはロックがかからなくなる」機能も実装されているそうです。(自宅にいる時はずっとロックされずに使い続けられる機能。)

利便性とセキュリティはトレードオフです。だからほんとうに安全なときくらいはロック機能を外してもいいのかなという気はします。

ただ、安全だろうと思って設定していても、いつ状況が変わるかは分かりません。本当は状況を察知してロックしてくれるくらいになってくれるといいのかな。これもGORT君の仕事かな。

7インチタブレットでは画像認証は使いにくい!

TechRepublicの記事です。

Windows 8.1の画像認証をやめてPINにすることにした

ざっくり訳すと

「Office Depotで99ドルで叩き売りになってたHP Stream 7を衝動買いして、使い始めてすぐに、普段使っているパスワードをタブレットのソフトキーボードで入力するのはとても面倒だと気がついた。」

「そういう人のために画像認証があるんじゃないか!ということで画像認証を使い始めたのだがこれが何だかちっとも使いものにならない。どう考えても正しく入力しているのにログインに失敗することが頻繁にある。」

「もっと単純にPINでログインできるようにすればいいんじゃないかと思って、iOSのPIN入力画面の画像を持ってきて画像認証に貼ってみた。」(注:この発想が普通じゃないと思うんだけど。(笑))

「しかし数字ボタンの中央を正確にタップしないとやっぱり認証しない。」(注:つまり数字ボタンの画像が大きすぎたということですが。)

「そこで結局あきらめてPIN認証に切り替えることにした。」(注:最初からPIN認証モードが用意されているんですね。)

Microsoft/Windows 8(8.1)の画像認証については「6文字程度のパスワードに相当するセキュリティ」ということで安全性には問題があるという認識はありましたけど、認識率についてはあれだけたくさん特許を出してるんだし多少ラフになぞっても大丈夫になってるもんだと思っていました。

(もちろん、あまりにもラフに認証できてしまうのは問題ですが、もともと6文字程度しかないのなら徹底的に利便性に振るのもありかとは思うのですが。)

しかしTechRepublicに記事を書く人ですらこんな有り様なのでは心許ないとしか言いようがありませんね。もちろん、癖みたいなものに左右される気がしますし、根気よく慣れていけば人間のほうがキャリブレートされてしまうかもしれないのですが。

画像認証がなかなか主流にならない(もちろんAndroidの9ドット認証(Draw-A-Secret)なんかは成功している部類だとは思いますが)のはこういうことがあるからなんだろうな、と改めて考えたのでありました。