大富豪家2.0の日記全体に公開

2006年04月02日
22:53
 マイ認証
http://pitecan.com/papers/Interaction2006/Interaction2006.pdf
論文として投稿したいのだが適当な参考文献とか関連システムとかがみつからない。パスワード以外の自前の認証手法を使いたいねぇという論文とか記事とかあったら教えて下サイ。
 

コメント    

2006年04月02日
23:24
I&L&M
個人認証のサービス始めたら、
お金になる時代が遠くない未来に来るのかもと考えていましたが、
ブラウザにプラグインとして実装してしまうとは、
良さそうですね(^_^)。
そしてハードウェアキーを使うとかなり便利になると言う点は、
実用性大かも。
2006年04月02日
23:36
大富豪家2.0
こちらにも資料あります。
http://pitecan.com/UnixMagazine/PDF/if0603.pdf
Greasemonkeyでえらく簡単に実装できるのでした。簡単すぎて論文になりにくそうで...
2006年04月02日
23:52
よしのふ
ハードウエアキーも便利ですけど,マイ認証の本当の価値って,「どんなものでも認証に使えるようになりまっせ」というところじゃないんじゃないかって気がしますよー.

パスワード方式は「いつでもそのパスワードを捨てられる」ということにその本質的安全性があります.その観点からすれば,捨てられないものを認証に利用するのは決して勧めることができないものでして,せっかくのテクノロジー(マイ認証)も,生体認証のような捨てられないものにブリッジされたのでは,竜頭蛇尾と感じるヒトもいるのではないでしょうか.USBメモリは大量に転がってるので捨てられないデバイスということもないのかもしれませんが,あまりうれしい方向ではないかもしれませんぞー.

むしろ,質問項目自動生成機能をつけましょうよ!定期的に質問を変えてくるわけです.パスワードが安全なのは,ときどき取り替えるからですが,案外多くの人は取り替えません.その点,自分しかわからない質問項目を自動生成してくれるならパスワードとして正しい方向と申せます.
2006年04月03日
00:01
《Writer Setagaya》
会社で実装した業務システムで、ISMSの絡みで、パスワードが脆弱になる、という指摘を受けて、クライアント証明書による認証を実装したりしました。
でも、これも形を変えたパスワードなんですね。
ただ、捨て証明書(自分で証明書を無効にする機能)も実装したりしましたね。

あと、有名なのが、RSAがやっているワンタイムパスワードですか。
あ、これもハードウェアキーの一種でしたっけ。
2006年04月03日
00:11
大富豪家2.0
ご意見ありがとうございます。

> マイ認証の本当の価値って,「どんなものでも認証に使える
> ようになりまっせ」というところじゃないんじゃないかって
> 気がしますよー.

ハイそうです。ハードウェア利用はあくまで一例でして...

> むしろ,質問項目自動生成機能をつけましょうよ!

移動履歴とかWeb閲覧履歴とかから生成することはできるんですが、やっぱり「クイズは解くのが難しい」という問題がありますね。画像認証はほとんど頭を使わなくてよいのが嬉しいです。
2006年04月03日
00:17
よしのふ
デモで使われたクイズ,異常に難しかったっw

でもそんな難しいクイズにしなくても(おおむね)本人だけがわかるものであればいいんじゃないでしょうかね.たとえば適当な撮影した写真を並べて「同じ日に撮影したものはどれか」とか.自分のPCからひっぱってくる写真は3枚ぐらいにしておけば,選択も楽ではないかと.スケジューラと連動させて「一昨日の昼はどこにいたか」とか...案外難しかったりしてw
2006年04月03日
02:27
ぱくぱく@かなまら祭
この間伺ったお話ですね。論文になるとこうなるのか、フムフム…
2006年04月03日
09:37
ひろのぶ
個人的な質問(好きな色とか、生まれ故郷とか)を繰り返し回答していき、その答えにハッシュをかけてパスワード値にするというのは、たしかブルース・シュナイヤーがやっていたような気がする。
2006年04月03日
09:41
ひろのぶ
生体認証は良いようで悪いです。むかし顔認証をやっている人が近くにいました。「パスワードは忘れ、鍵は落とす。でも顔は忘れもしないし、落としもしない」というのが売りでしたが「パスワードがばれたら変えればいいけど、顔の場合、そうもいかないしなぁ」という突っ込みをみんなから入れられていました。
2006年04月03日
10:05
大富豪家2.0
> 異常に難しかったっ

それは良いことのような気が...

> ブルース・シュナイヤーがやっていたような気がする

この人のとこは情報多いですね! 調べてみます。
http://www.schneier.com/

私も生体認証はぜんぜん駄目だと思ってます。全く言及しない方がいいのかな?
2006年04月03日
10:31
大富豪家2.0
> ハッシュをかけてパスワード値にする

ううみつからないです... 他にキーワード無いですかね?
2006年04月03日
11:46
ひろのぶ
覚えていないなぁ。文字列を記憶するパスワードは死んだ、みたいな文章があって、そこに書いていたような気がするだけで、ありがちなアイデアだし。

生体認証も「まあ、そこそこの安全性で手間がかからない方法」と割り切れば、機能的にはそうまんざら悪くもないけど、システム全体で考えた場合、利用インフラも含めたコストが高くて、利用者はペイしない。今、生体認証を進めているのは「売る側の論理」であって使う側の論理で入れているわけではないでしょー。もっとも使う側は何にも考えていないから、論理もなにもありゃしないんですが。ちょっとバカっぽい。
2006年04月14日
20:27
いとじゅん
インタラクション2006の論文になってたんですね、参照させてください。ありがとうございます。この系統で他に応用するなら何?っていろいろと考えると楽しそうですね。