パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

キーを叩く癖で個人を特定するシステム」記事へのコメント

  • by messo (7339) on 2002年03月23日 12時10分 (#74318) ホームページ 日記
    記事を読んでダメだと思いましたが.....
    かな入力なら差は少なくタイミングだけになる。
    ローマ字で機種依存する部分。「ぁ」=la、「xa」<Macintoshことえり
    出し方で変ってきます。

    キーボードの種類から来る問題として
    ASCII配列時のWindowsかな配列が「~」(半角全角って言えば分かるかな?)キーが「ろ」になる。
    Macintoshは Returnの左の「”」が「ろ/け」
    Macintosh:JISの位置に近くない部分はその近くでShiftの組み合わせで行う。
    Windows:JISの配列を重視して、キーがない部分はとんでもない部分へ配置
        しかし元々足りずShiftの組み合わせで行う。配列としてメチャメチャ?

    左右分割のタイミング
    左右分割キーボードは当てを固定して使う為押せる範囲にあるキーは速度が速く
    届かないキーはノーマルより劣る。ASCII配列時の左右分割は押せないキーは
    \(\)とdelete(Bs)の2つだけだがJISの場合押せないキーが増えて
    使い物にならない。<動くけど左右分の意味はない事
    配列、形状はタイミングに大きく影響する。
    慣れてなければ初心者のような入力すると思われる。
    #水平で片手7キーより多い部分は押せないと思っていい。

    ユーザの癖を知るには常にキーボードを監視してなければならない。
    端末にスパイウェアが必要だ。
    で、なんで日本語なんだ?英語場合キーの多重押しまでカウントしないとダメ
    とはいえ差は分かりにくいでしょうね。左右分割のスペースが2つあるタイプを
    見ていると左スペースか右スペースかどちらかを押すか癖が出ますけど
    先ずキーボードとして左右別には作ってはいませんから分かりませんね。
    #私は左(手)スペース派ですね。
    • by L.Nizah (7804) on 2002年03月23日 18時05分 (#74396)
      プログラムのソースコードなんてどうでしょう
      かなりユーザの癖が出ると思います。
      過去に書いたコードを解析させればある程度のデータも把握できますし。

      でも、実際に企業が導入しても
      コーディング規約に従わない社員の判別くらいにしか使えないような気が・・・
      親コメント
  • by Joga (8113) on 2002年03月23日 12時57分 (#74325)
    セキュリティ上の観点からはともかく、こういうのって
    「人を見たら泥棒と思え」という考えからできてるような気がする。
    社員が全然信用されてないってことだからね。
    こういうツールを導入せざるを得ないということは、
    会社にも社員にも不幸な話だと思うよ。
    世知辛い世の中になったのう・・
  • この手の研究が進むと、研究チームがSSHを悪用したハッキングツールを開発 [netsecurity.ne.jp] みたいにキーストロークの時間でパスワードをクラックする技術がどんどん進みそうですね。
    これを防衛するには、パスワードを送信するパケットはランダムにバッファして時間差をつけるとか。
    ハードウェア自体にキー信号がランダムに揺らぐ装置をつけるとか。 そうなると管理者側としては、キーボードは取り外しできないように鍵をかける必要が有るなぁ。
    まてよ。キーボード自体にIPv6とかを割り振って、それが変更されるとログに残るようにすればいいのか。
    --
    Masafumi Otsune [otsune.com]
  • 応用例として (スコア:2, おもしろおかしい)

    by albireo (7374) on 2002年03月23日 23時49分 (#74446) 日記
    「Microsoftを叩く時の癖でACを特定するシステム」というのはどうだろうか?
    --
    うじゃうじゃ
    • たたいても感じない超鈍感な人たちを対象にしているからねぇ。

      「癖」なんていうデリケートなものを扱えるアタマもないようだし。だいたい「おれは会社を愛してるぞー!」なんていうことを大声で叫びながら舞台の上を走り回るくらいしかパフォーマンスもできないようなCEOのいるとこ
  • むしろ (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2002年03月23日 11時50分 (#74316)

    情報の漏洩を考えた場合、対象となり得る情報へアクセスするために必要なキー入力が、Windowsドメインへのログオンのためのパスワードだけ、なんてことはないでしょうか。ドメイン内の共有ファイルはもちろん、WebアプリケーションでもIEが(ないしこの場合はN6、Mozillaでも)勝手にパスワード埋めてくれたりと、キー入力なしで情報を取り出せたり、とか。

    そうすると、せいぜいが数回~十数回程度でしかないキー入力ではなく、マウスの動かし方の癖を解析、データベース化する方がはるかに効果的なような気がします。

    # やってほしい、とはこれっぽっちも思いませんが。

    • by moonbear (4602) on 2002年03月23日 13時13分 (#74330)
      昨年のUSENIXでバークレーのSong [berkeley.edu]さんらが発表した,パケットのタイミングを解析することによるsshへのアタック [oreillynet.com]を思い出しました.タイミングだけでも結構いいところまでいけるようです.マウス操作や日本語入力があった場合についても研究してみると面白いかもしれませんね.
      親コメント
    • by Anonymous Coward
      マウスは無理だよ。
      初めに必ずあるとは限らない。次にカウント数に依存する。
      マウスはマウス以外にトラックボールやタブレットなどある、
      これらによって動きが変ってくる
      例え分かったとしてもどうせ無意味な円運動しかしていない。
      精神状態に行動遊びがある場合や全く触れない場合もある。
  • これのどこに7500万円もかかるの?
    とっても不思議....

    それともこういうのって、これくらいが相場なの?

    • by seldon (5637) on 2002年03月23日 16時22分 (#74367)
      開発するのに1億ぐらいかかって、2件ぐらいしか売れないと踏んでるのかも:-)

      # ソフトの開発費自体より、有意な「個人ごとの特徴差」を洗い出すためのリサーチには、かなり金かかると思う。

      親コメント
    • by Anonymous Coward
      弊社では、某国国防企業製の社員監視ツールを導入しておりますが、ライセンス料は1000万円ほどでした。
      ネットワークの規模や社員数によってライセンス料が決定されると思うので、単純な比較はできないかもしれなせんが。

      ちなみに、弊社ではこの手のツールを有効に活用しております
  • by hajimetyan (3875) on 2002年03月23日 13時45分 (#74336) ホームページ
    まず、俺がキーボードたたくと"ls"というフレーズが
    かなりの数で出るだろう。
    --


    .::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
    I 1 2 B H4[keR. :-)
    • by kyle (3923) on 2002年03月23日 16時46分 (#74373) 日記
      sl [u-tokyo.ac.jp] の出現頻度で個人の特定は、、、無理か。
      親コメント
    • by takashikami (670) on 2002年03月23日 17時23分 (#74382) 日記
      その昔DOSの頃でいうとdir症候群ですな。 そういう人にはこのスクリプトで自覚しましょう。
      history | gawk '{gsub(/.*\//,"",$2);a[$2]++}END{for(name in a)printf("%03d %s\n",a[name],name)}' | sort -r | head -10
      これは bash 用ですが、tcsh の人は $2 を $3 にしてください。 そういうオレは・・・
      290 ls
      168 pwd
      060 cd
      050 selectall.pl
      042 insert.pl
      038 select.pl
      037 jikes
      022 emacs
      021 selectall.sh
      020 man
      history | wc -l は 1000 です。やばくない?(注:.pl, .sh は開発中のスクリプトです。。。)
      親コメント
      • by zic (3837) on 2002年03月23日 18時32分 (#74401) ホームページ 日記
        がはははは、私の場合、 history | wc -l は同じく 1000 。

        user=root の場合

        251 rpm
        193 ls
        069 cd
        033 rm
        026 tar
        025 mv
        019 ps
        015 chmod
        013 sh
        013 mkdir

        user=zic の場合

        055 rpm
        051 ssh
        045 ls
        027 mozilla-bin
        023 sh
        019 cd
        012 mv
        012 mozilla
        011 mozilla&
        011 man

        因みに、GNOME環境で作業してるので、NautilusやEmacs上から行った操作は計上されず。
        --
        三毛猫
        親コメント
    • by Anonymous Coward
      そういえば,共通アカウントの場合,使ったコマンドの履歴を見れば,誰だか判ったりしますもんね。
  • by lss (2577) on 2002年03月23日 14時14分 (#74344) ホームページ 日記
    キーボードを監視するのは トロハブ [dct-net.co.jp]だけにして欲しいですね。

    ちなみに トロハブLinux用ドライバはここ [rim.or.jp]です。

  • 十五年くらい前に木村泉先生と粕川君による論文が発表されていたと 記憶している。

    ま、当時と現在では利用できる資源に「天と地」ほどの開きがある から単純な比較はできないけど、現在に到るまで具体的に製品化 されず、なおかつこれほど高価であるというところに「?」が ち~かちかと点滅するねぇ

    それに「風邪をひいたら使えなくなる声紋認識」の笑い話と同じ で、突き指とかするとシステムからはじき出されることになる わけじゃん。

    現実的な使い方としては、データセンタのオペレータなどが、 認証なしにいきなりデータ入力を開始して、それが誰の入力で あるかを判別する… とかいうやつじゃないかと。これなら パスワードの管理がいらないし、CRT モニタにポストイットで パスワードを貼り付けられる危険性もないもんね(笑)。

    --
    --- Toshiboumi bugbird Ohta
  • 全端末にCCDカメラをつけて、各種ログオン時に使用者の顔を記録するようにしたほうが早いんぢゃないかしら。

    問題が発生した時点で、写真を人間が確認するって使い方です。

    「人の顔らしきモノ」が写っているか判定する程度のパターン認識なら簡単だし…。
    (マスクをするとかカメラの前に写真を置くとかしたら駄目だけど、そんなコトしたら目立ってしょうがないでしょ?)

    #画像データをどの程度保管するか?が問題ですけど。
    --
    notice : I ignore an anonymous contribution.
    • by L.Nizah (7804) on 2002年03月23日 17時58分 (#74393)
      それなら、虹彩認証の方がよろしいのではないでしょうか
      「とりあえずOK,問題発生したらログ確認」
      では、あまり意味が無いのではないかと思いますが。

      問題はコストですね、どのくらいかかるのでしょうか?
      親コメント
      • 虹彩認証 → 1台当たり3~7万円くらい。
        社内の不正利用対策に大金をつぎ込むってのは…
        ごく少数の不心得者を検出するのにそんな金を使うくらいなら素直に給与を上げた方が効果的でしょう。

        普通は「不正利用したら間違いなく個人特定できますよ」程度で充分でしょう。
        (本当に問題のある奴なら採用しなきゃいいんだし)

        ----------------------------
        CCDの安いのは500円もしないので、重要と思われる箇所で画像を保管すれば充分でしょう。
        ついでにマイクもつけて音声メモと写真をメールに添付して送れるようにすれば角も立たないでしょうし。

        #顔が写っているかの確認とデータ転送は作り込みになりますが...
        --
        notice : I ignore an anonymous contribution.
        親コメント
  • by Technical Type (3408) on 2002年03月23日 17時51分 (#74390)
    社員がタイピング本買って練習したら、もう終わりじゃないの? また、しばらく旅行に行っていて指の動きが鈍ったとか、キー配列が微妙に違うキーでしばらく作業したので、元のキーボードを使ったら手崩れになったとか。

    実用性絶無ですね。
  • 認識出来るほどキーストロークが有ったら、すでにそれなりの情報にアクセスされてるんじゃないかな?

    まあ、あとで「誰がやったか」の手がかりにはなると思うけど……

    普段から「ちょっとヘン」なキーボードに指を慣らしておくと、行った先の「普通」のキーボードの触り方なんて、たどたどしいモノになりそうな気もするな。
    そういうのって、どういう風に判定されるんだろう。
  • by 0.1uF (3815) on 2002年03月24日 23時41分 (#74616) 日記
    ソフト的あるいはネットワークを介してキー入力をスキャンさせるのはそれなりに技術がいると思うけど、ハード的にキー入力をスキャンするのって以外とローテクで簡単だと思います。つまり、PS2あるいはUSB延長ケーブルのように見せかけたスニファーツールってやつ。
    今じゃ数mmのチップに10万文字以上記憶できるメモリができる時代だから、起動から全てのキータイプを記憶しておくことは非常に簡単だ。あとからそれを回収すればなんてことはない、sshなんて全く関係ない。
    パスワードが漏れても、ハード的にスキャンされているなんて普通考えないから意外と盲点かも知れない。LANの配線は気にするけど、キーボードは気に掛けないし。
    キーボードに触れないとできないが、内部的な犯行は十分可能だ。
    ということはこの手の認証は全く信用できないものになると思う。

    明日、キーボードの接続先をよく確認してみよう。
  • by AliceYou (2190) on 2002年03月25日 11時00分 (#74771) 日記


    Shift,Ctrl,Altを押す癖を監視するだけで済みそうな
    気がする。


    だって、あるキーとの同時押しをするときに右側のをを押すか
    左側を押すかというのは個人個人で完全に癖が出るから。

  • by Anonymous Coward on 2002年03月23日 22時59分 (#74437)
    客対応するセンターでは、キーストロークの頻度、トイレに立つ頻度や時間、電話が鳴り始めてからどれくらいの秒数で電話に出たか、など、あらゆる記録が取られ、それが査定され、給与に直結ということをしています。

    まぁ、それはそれとして、

    私は時と場合に応じて意識的に「ん」の入力は「NN」と「N」の使い分けをしていますけど、意識的にそれをズラすこともします。単にそういう癖なんですが。

    しかし、キー入力だけではすべての個人特定は無理なような気がしますがねぇ。加えてマウスの使い方、使用時間の最初と終わりに起動するソフトの順序などの癖など、もっとたくさんの複合要素を一緒に判断したほうがいいと思うなぁ。
    •  わたしゃWin(WinCEも)とMacと超漢字をごっちゃに使ってるので、タイピングはメチャクチャです。
       「ん」の打ち方とか、英数変換とか、全部方法が違うもんな、、、
      #他のマシンも使う事があるので、どの環境もシステム標準IME&キーアサインです。
      #ってか、昔から環境に合わせる人間なもんで。

       ここまで間違える人間なら、間違えのパターンで識別出来るか?
       と言っても、日本語打つときだけだよなぁ、間違える時って。
      親コメント
    • by take0m (4948) on 2002年03月24日 16時04分 (#74553) 日記
      キーボートたたくときの指はたまにずらしています。
      指一本分くらいだけど。
      特にパスワードとか入れるときは、かなり意識してずらしたりします。世の中ほとんどqwerty配列だから、指の動き見てたら結構想像できちゃうよね。
      親コメント

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...