パスワード要求フォームを自前のCGI呼び出しに変換してしまう
Greasemonkeyスクリプトを書いてみた。
Mixiログイン画面などにアクセスすると画像なぞなぞ認証が表示され、
正しく操作を行なうとパスワードが返されてフォームに入力される。
パスワードを利用する既存サービスにおいて完全に自前の認証システムを使えるので便利である。
I wrote a
Greasemonkey script which converts a standard password input form
into an arbitrary CGI call.
When you try to log on to an Web service,
image-based query form is displayed automatically,
and if you select the correct image consecutively,
an appropriate password for the site is generated and pasted to the password input form.
In this way, you can use your own special authentication method
instead of typing your password into the form.
Now you don't have to remember a long password any more!
ここでは画像なぞなぞ認証を使っているが、どんな認証を使ってもかまわない。
パスワードの場合は「文字列を入力する」という認証手段については公知なので
いろんな文字列を試してみることができるけれども、
そもそも認証する方法すらわからないような方法を使えば、
パスワードなんぞよりはるかに破りにくく解きやすくすることができるだろう。
Phidgetsなどをうまく使えばハードウェアによる認証も使えるだろう。
パスワードを利用するサービスがなくなることはないだろうから、
自分の認証手法をパスワードに変換するシステムというのは
これから有用だろうと思う。
You can use an arbitrary authentication method other than the imabe-based query.
Using a special authentication system, authentication strategy can be hidden to the user and
crackers cannot tell how to try to break the system,
while crackers can try typing characters a number of times on
ordinary password-based authentication systems,
and eventually succeed in breaking the password.
You can also use special hardware for your authentication:
without the hardware, nobody can break into the system.
Even when a new excellent authentication method is invented,
password-based systems will survive long, at least for the next ten years.
Password-haters should try to develop a system which can convert
your own authentication strategy into a password string
which conforms to current standard password-based systems.