画像によるパスワード認証システム 29
ストーリー by Oliver
目鼻口パターン 部門より
目鼻口パターン 部門より
yamajun曰く、"ZDNNの速報によると、MicrosoftのDarko Kirovski氏が文字の変わりに画像を利用したパスワードシステムを開発したそうです。これはユーザーが設定した画像中の特定の場所(たとえばモナリザの鼻)をクリックすることで正規ユーザーかどうかを識別するシステムのようです。速報記事では『ユーザーが覚えやすく,ハッカーに見破られにくい』とあるけど、ブルートフォースアタックに対してはむしろこっちの方が弱いのではないでしょうか?"
昔のニュースですが (スコア:2, 参考になる)
2000年11月のニュース [zdnet.co.jp]でした。Deja Vuというもの。
数千のカラーイメージから5つを選んでパスワードとする、という仕組みだそうです。
Re:昔のニュースですが (スコア:1)
Re:昔のニュースですが (スコア:1)
調べる必要ないッス.→詳細記事 [zdnet.co.jp]の最後に関連記事としてリンクされてます.
kero
Re:昔のニュースですが (スコア:1)
でも、速報が出た時(調べてコメント付けた時)では、詳細記事へのリンク無かったかも~。
覚えてないや(^^;
Re:昔のニュースですが (スコア:1)
何か似たシステムをと探してみたけど,見つからない・・
2001年に発行された SOFTWARE DESIGNか UNIX MAGAZINEに,画像を選択することによる認証方式の記事があったんですが・・どこだろう?
富士ABCさんの写真画像を利用した認証方式(2000/03/17) [fsi.co.jp]は,だいぶ違うものだし・・・
kero
Re:昔のニュースですが (スコア:0)
でも、 (スコア:1, おもしろおかしい)
まあそれはともかく、
ヲジサンはこの「認証のための画像」に、XXXな奴を使ったりするんでしょうか?でも、XXXが見えてるXXXな画像だと、XXXをクリックするのはお約束になっちゃうから、ちっともセキュリティに貢献しないような気がしますが。。。。
(自己規制検閲のため、一部が見えなくなっておりますが、ご了承ください)
Re:でも、 (スコア:1)
もちろん[BOSS]ボタンも用意しておいてくださいね。
じゃなくって (^^;
特定の絵の特定の位置をクリック、であれば、絵を変えることができる
仕組をつけておいて、正しい絵の正しい位置をクリックして認証するな
ら、ブルートフォースにも耐えられる気もします。
# iPhoto みたいなソフトになったりするかも。
正しい絵を25分割くらいのパネルでランダムに配置し、「なんとなく
絵と位置が判別できる」ようにすれば、覗き見攻撃にもそれなりの耐性
ができるんではないかしら。
みんつ
あたたたた (スコア:1)
「北斗の拳のザコ」とかどうでしょう。
# ボスクラスは100発以上入れないと倒せないとか。(違)
想像してみた (スコア:1)
ログイン画面として任意の画像
リモートログインするときに送りつけられたのは
ナル入った管理者のポートレート…
(コスプレ写真でも可)
萎えてクラッキングする気が失せるので
セキュリティ効果ばっちりかも(汗
Re:想像してみた (スコア:0)
頼むから (スコア:0)
クリックするとビョーキがうつりそうだし。。。。
Re:頼むから (スコア:0)
GNUの偉い人もけっこうすごい…
思わず、オープンソースのものしか使えなくなりそう。
髭が特に
Re:頼むから (スコア:0)
オープン/フリーソースで有名な人で人前に出せる人って誰がいるだろうか?最近痩せたLinusくらいかなぁ?Migel de Icazaはデムパなので、口を開けさせなければ...
日本だとまた難しいな。
Re:頼むから (スコア:0)
そう?最近の若い子で普通の風貌してる人居ると思うが
まぁそう言う人たちは人前で喋るほど何かを持っている訳じゃ無いよね・・・
あと4,5年たって彼らが成長すれば少しは望みが(笑
オールドタイプについてはコメントを差し控えよう(笑
新発見? (スコア:1)
機械的なアタックを防いだりするシステムって存在しますよね。
そもそも「画素が反応し~」なんてご大層な事言っても、
余分なインターフェースが一つ増えるだけで
結局は内部的にパスワードを生成する事には変わらない訳で。
んで、記事をそのまま鵜呑みにするとすれば
640*480の画像中1ドットをクリックさせるのって
アルファベット小文字4文字のパスワードにも劣りませんか?
ログイン時よりもその後が (スコア:1)
大して数も多くない端末からホストコンピュータにアクセスしていた昔や、スタンドアロンの中に保存されているデータの保護だけ考えていれば良いPDAなどのロックと違って、
現在の社内ネットワーク等の多種多様なデータがそこかしこに存在する上に、アクセスする経路も非常に多くなった環境下では、ログインした人物と使用している人物が同一であるという証明も必要じゃないかと最近考えています。
〜後悔先に立たず・後悔役に立たず・後悔後を絶たず〜
初期パスワードは? (スコア:1)
代理人にパスワードを(口頭で)教えるのも大変そうだ。
パスワードを付箋に記入してパソコンに貼り付ける愚か者は激減する事でしょう。
Re:初期パスワードは? (スコア:1)
>パスワードを付箋に記入してパソコンに貼り付ける愚か者は激減する事でしょう。
キレイに加工した画像が写真立てに・・考えればきれいがないですね.
そういえば,映画“JM”で3,4枚の画像をパスワード(暗号キー?)にしてましたね.
kero
Re:初期パスワードは? (スコア:0)
カモノハシの絵をかいておく奴が増えたりして...
富士通子会社が同じ技術を持ってます。 (スコア:1)
最初は覚えにくいかな? (スコア:1)
んで、このシステム、最初にパスワードを覚えるのが難しいような。
てのは、昔あったアーケードゲーム(「タントアール」だと思う)で
表示された順番にクリックしてく、というゲームがあったけど、5つとかなると覚えらんなくて。
あ、そういう意味ではセキュリティ的に良いのかな?
でも、結局覚えやすいような順番でパスワードにするだろうから、
逆にクラックしやすくなるかもしれない。
例えば、N字型にクリックしてくとか、そういうデータベースを作ってしまうような。
#結局、セキュリティはいたちごっこだ・・
で、どういう仕組? (スコア:0)
あと、ショルダーサーフィンって言葉は一般的なんでしょうか。ショルダーハックなら聞いたことあるんですが。
乱数変換? (スコア:1)
以下、適当に考えてみる
画像Aのとある場所Xをクリックすると、AをXの情報(位置とか色)を元にして、何らかの方法で暗号化し、Cを得る。
Network上は、その(暗号化された)Cが流れる
どう頑張ってもこれ以上の内容は読み取れないですねぇ
Challenge & ResponseのChallengeとして画像(に何か埋め込み?)
Responseとして、上記のCを使用するという事でしょうか?
# Challenge & Responseが良く分かってません (^^;
Re:で、どういう仕組? (スコア:1)
つまりは、ある符丁があって、指定された乱数コードに従って画像の特定位置をクリックするような仕組みでしょう。
この時に符丁の出し方やHashの取り方を工夫すれば、パスワードよりも理論上Secureに出来る。と言う事ではないかと思うのですが。
別のスレッドで言われているように、特定の座標を複数入れるのでは無い事は確か。
原文を読んでみる (スコア:0)
原文 [com.com] を読むと, 画像の一部分をクリックするのは1回ではなく, 複数回らしいです。これなら, 文字列によるパスワードよりもクラックされにくそうです。
Re:原文を読んでみる (スコア:0)
Re:原文を読んでみる (スコア:0)
そう?結局重要なのは組み合わせの数でしょ。
より発展した認証として (スコア:0)
単純なクリックだけでなくて、複数回のクリックやドラッグを含めた「ジェスチャー」がパスワード代わりになりそうですな。
タブレットと筆跡検証機能が普及すれば自署名を認証に利用するとかにもなりそ