December 03, 2007
パスワードメッセンジャー: Password受け渡しのためのWebサービス
「にくりっく認証」のWebページから、こういうサービスの存在を知った.
「パスワードを受け渡しを可能にするWebサービス」とのこと.
以下は、個人的な意見
- にくりっく認証の応用サービスなので、その認証の安全性にシステムの安全性が依存.
- 理論的には、公開鍵による共通鍵の受け渡しができるなら、こういうサービスを利用する必要はない.つまり第三者の仲介は必要ないであろう.
- 個人的にはパスワードの授受に第三者を仲介することは絶対にしたくない.つまり送信者と受領者の二者間の秘密にしておきたいと思う.
- こういう仕組みを、秘密を共有したい二者間だけが利用できるように運営するならばそれはありかなとも思う.ただし認証方法はユーザの望む方法が使えるようになればという条件であればだが...
- 第三者に預けるのは、暗号化ファイルとパスワードのどちらがよいのか? という議論もある.パスワードをplain textとして預けても、それ自体はただの文字列なので、暗号化ファイルがない限りなんの意味もない.が、ユーザとしてパスワードをplain textとして第三者に預けるのはどうも心理的に嫌悪感がある.少なくとも、「これなら安心して預けられる」とは思えない.一方、暗号化ファイルを預けてしまうと、そのファイルに対してbrute-force攻撃や推測攻撃をしかけられる恐れがある.どちらも一長一短な感じがするのは当方だけか?
個人的には、こういったサービスがどのくらい普及するかに興味がある.どうなんだろうか?
December 02, 2007
にくりっく認証 - ワンタイムメールアドレスに空メールを送るだけでログイン完了!?
にくりっく(2 click)で認証が完了するというサービス「にくりっく認証」を知った.
にくりっく認証 - Keytel Co.Ltd.
「ワンタイムで作成されるメールアドレス宛にメールを送信すると認証される」とある
# うーん...
個人的意見を以下に述べる
つまりところ「電子メールアドレスが認証情報として信用できるか」という前提を受け入れられるかどうかが大きな分かれ目になるサービスである.そういう前提の基で利便性が高いとうたっているサービスである.
- 「電子メールのFROM行が詐称できない」という条件は、現時点では素直に了承できない人が少なからずいるだろう
- DKIMが普及すればFROM行の詐称は困難になるとあるが、これは本当? (当方はよく理解していない)
- 見方によっては(メールアドレスを個人の所有物とすれば)所有物認証と言える.つまりそのメールアドレスでメールを発信できる機器に対して盗難や窃盗に対する脅威がある
- 「スパイウェアによる脅威はない」とあるが、そうは見えない.この認証を提供しているサーバのIPアドレス or ホスト名、そしてそのユーザのメールアドレスをスパイウェアが取得すれば、なりすましへの必要条件は揃うことになる.あとは、認証サーバにアクセスし、そのユーザのメールアドレスでメールを送信すればよい.
- フィッシング対策にもなるとも書かれているが、何をもってフィッシング対策というかによってこの言葉は真にも偽にもなる気がする.ただしこのサービスを攻撃するのであれば、フィッシングサイトを用意するよりも、他の方法で利用者のメールアドレスを取得する事の方が攻撃者としては効率が良いと推測する.
- 同じような原理で、メールアドレスのかわりに携帯電話の発信者番号通知を利用して認証をする方法「キーテル認証(ダイヤル)」も提案されている.が、これも上記同様「携帯電話の発信者番号は詐称することができない」という条件を受け入れられるかどうかが分かれ目になるサービスである.実際に日本でも携帯電話の発信者番号を詐称した(と思われる)事件は発生しており、世界的にみても発信者番号詐称の事例はいくつかある.また携帯電話やIP電話になると、その詐称も容易になってきているという見方をした方が無難ではないかと個人的には考える(クローン携帯とか).特に今時の携帯電話は難しいことをして発信者番号を詐称しなくても、SIMカードさえ取得できれば、その番号を持つ携帯電話になりすますことはできてしまう.
ケイタイ進化論 - Cyber Academy
「振り込め詐欺」は発信者番号を偽装する? - Slashdot
発信者番号を偽装した「振り込め詐欺」に注意 - ケータイwatch
ドコモとauが発信者番号偽装の防止策を3月から実施 - Cnet
ボーダフォンも偽装電話番号の悪用防止策を導入開始 - Cnet
海外ではこんなこともあるようです
発信者番号表示 操作 罰金500万ウォン
FCC, 発信者番号なりすましサービス提供サイトを調査 - wiredvision
個人的見解としては、携帯電話も計算機もただの機械であり、それらの属性情報を認証情報としては使いたくないなと思ったり.
また別の興味としては、こういう認証サービスはどういうTarget(客層)なら使用するのだろうか? という点である.認証は利用シーンや必要とされる安全性や利便性に応じてさまざまな認証手法があっても良いと言われているのが現状であるが、現実にはそうはなっておらず、伝統的な認証手法がさまざまなところで今も利用されているのが現状である.こういう利便性重視の認証は、どのようなシーンでなら受け入れられるのだろうか?
December 01, 2007
画像処理に興味があるなら、まず使って損はないアプリケーション - Lavatube
とあるところで、このLavatubeなるアプリケーションの存在を知ったのだが、あまりに素晴らしいソフトだと個人的に思ったのでここに書き残すことにした.
画像処理に興味がある人は、是非ダウンロードしていろいろといじってみることを強くお勧めする.ライブラリの都合もあるようだが、残念ながらWindowsのみ稼働.しかし非商用目的で個人が使用するのであればフリーで使えるシステムとしては、あまりにも素晴らしすぎる.高専や大学の授業でも使えるよなとも思ったり.
なにが素晴らしいって言うと、モジュール化された処理を視覚的にグラフとして接続するだけで、画像処理のシステムが作れてしまうことである.そして、その途中経過を画像としてモニタリングしたり、個々のモジュールのパラメータを簡単に変更できるようなGUIがすでに実現されているため、細かなパラメータ調整による再実行も簡単に行えることである.
OpenCVなどのモジュールも含まれているので、OpenCVでのプログラム実装などで時間を取られるぐらいなら、このツールでのコンセプトproofをしてから実装を始めてもよいと思われる.
このツールを開発した研究者も、もともとはこれが作りたかったわけではなく、とあるシステムを構築するのに、こういうツールがあったら便利だよね〜.という視点から作ったツールだとのこと.なので、使いやすさをきちんと考慮したシステムになっている.このツールで3次元データからの特徴抽出やら、異常行動検出装置を実現していることも、そのツールの有用さと実用性の高さを示しているといえよう.