新しいCAPTCHA方式 「妹認証」 46
ストーリー by mhatta
どうしても突破できん 部門より
どうしても突破できん 部門より
znc 曰く、
GIGAZINEの記事によると、新しいCAPTCHA認証として「妹認証」なるものが公開されたとの事です。最初に言っておきますが、これはネタではありません。真剣にボット対策を検討した結果との事です。
この認証システムはMITライセンスで無償提供されています。質問文と回答文において日本語を完全にサポートしており、質問文はPHP+GD+TTFフォントによる画像出力によって質問の抜き取りを困難にしています。質問文に対して回答をする事で認証を行なうのですが、この答えが画像に出ている文字列を記入するだけではなく、多少考えて記入する必要もあるため、機械的にクラックする事が極めて困難になっているとのこと。質問・回答文のカスタマイズはもちろん可能です。将来的には「ツンデレモード」という認証が中々されないモードも入るとか…。なお、名前の由来ともなっているデフォルト画像には、「れいにゃ」という妹系キャラが設定されています。この画像のカスタマイズも可能で、企業らしいお堅い画像に変更する事も出来ます。あとは自分でデモを試してみてください。
最近ではOCR技術の発達などCAPTCHAも一時期の強固さは誇れなくなってきていますが、ちょっとの工夫でまだまだ頑張れそうですね。
難しい・・・ (スコア:5, おもしろおかしい)
難しいなぁ・・・。
妖精哲学の三信
「だらしねぇ」という戒めの心、「歪みねぇ」という賛美の心、「仕方ない」という許容の心
Re:難しい・・・ (スコア:2)
凝りすぎるとダメなんですかね。
Re:難しい・・・ (スコア:1, すばらしい洞察)
Re: (スコア:0)
Re:難しい・・・ (スコア:1, おもしろおかしい)
これはCAPTCHAなのか? (スコア:4, すばらしい洞察)
これは正規の利用者なら当然知っており部外者は知らない可能性が高い「知識」を試すことによる認証であって、 CAPTCHA [wikipedia.org] ではないように見えます。はてなの「なぞなぞ認証」 [hatena.ne.jp]も同じ類です。こういう認証は CAPTCHA より古くからあるのではないでしょうか。
だから悪いという話ではありませんが、 CAPTCHA でないものを CAPTCHA と呼ぶのは混乱の元なのでやめた方が良いと思います。
それとも、もしかして最近ではコメントスパムを避けるための認証全般のことを CAPTCHA と呼んだりするのでしょうか。
Re:これはCAPTCHAなのか? (スコア:5, すばらしい洞察)
設問のひとつである「れいにゃ大好きって言って」などは普通に日本語としての認証を行っています。
そもそもCAPTCHAはあなたが提示したWikipediaの記事にも書かれている通り、
コンピュータと人間を区別する完全に自動化された公開チューリングテストに過ぎません。
難読化された文字を入力したりビル・ゲイツの顔写真を見分けたり [srad.jp]するだけがCAPTCHAではないと、私は思いますよ。
Re:これはCAPTCHAなのか? (スコア:1, すばらしい洞察)
コンピュータと人間を区別する完全に自動化された公開チューリングテスト)なんですよね?
本件で区別されているのは「コンピュータと人間」と言うより「人間とアレゲな人」だと思うのでやっぱり違うと思うのですよ。
Re:これはCAPTCHAなのか? (スコア:2, すばらしい洞察)
むしろ、一般人と逸般人を区別するオタ度判定テストになってないですか?
Re: (スコア:0)
Re: (スコア:0)
Re:これはCAPTCHAなのか? (スコア:1)
日本語を理解しないと難しいっていうのは差別化できるかと。
中国人でも、日本語わかるととたんに単価あがってしまうでしょうし。
Re:これはCAPTCHAなのか? (スコア:1, おもしろおかしい)
つまり津軽弁・薩摩弁認証を作ればいいわけですね。わかります。
Re: (スコア:0)
そんなの普通の日本人も突破できません
Re:これはCAPTCHAなのか? (スコア:1)
専門知識を問わずに人間とそれ以外を区別するのであれば、ぐにゃぐにゃ文字の CAPTCHA よりも安全である要素がないと思いますし、専門知識を問うのであれば人間とそれ以外を区別するのではなく正規の利用者とそれ以外を区別しているので CAPTCHA でないと思います。どちらの使い方をするにしても、「ぐにゃぐにゃ文字の CAPTCHA よりも安全な CAPTCHA」にはなりえません。
そんなことは僕も思いません。
Re:これはCAPTCHAなのか? (スコア:1)
ぐにゃぐにゃ文字の類のいわゆるCAPTCHAをspam避けに使っているblog等でそれを突破したspam投稿が問題になっていないのは、spammerはそれを突破しなくても他の無防備なところに投稿するだけで十分効果があるからなのでしょう。
将来、spammerがぐにゃぐにゃ文字の類のいわゆるCAPTCHAを突破するようになったならば、なぞなぞ認証の類の方がspam避けとして効果的になるかもしれません。
ぐにゃぐにゃ文字の類のいわゆるCAPTCHAは、それさえ突破できれば、そのシステムを使ったblogやBBSの全てにspam投稿ができます。一方、ヒント・問を提示しそれに対する回答を求め、かつ各々の利用者にそれらを設定させるのであれば、そのblogシステム等全体への無差別なspam投稿は困難です。
#ただ、その手のなぞなぞ認証の類は、それはそれで色々難がありますが。一意に答えられる問答を用意するのが難しいとか、答えを打ち込むのが面倒とか。
Re:これはCAPTCHAなのか? (スコア:1)
選択式にすれば可。
the.ACount
Re:これはCAPTCHAなのか? (スコア:1)
>選択式にすれば可。
マテマテ。それじゃspamを防ぐ効果が激減ですぞ。
とはいえ、その手のがあるだけで無差別なspamは激減するので、今はそれでも十分かもしれませんね。
そのシステムに対応したspam投稿を防ぐつもりなら、4択4問の全問正解必須で、ランダムもしくは総当たりでの正解率1/256ならまだ許容範囲かな。(それぐらいなら、他のblog等に行ってくれることを期待)
また、選択肢の数と問の数も可変にして、その管理者の意向でもっとぬるめにも厳しめにもできるようにするべきか。極端にぬるめな設定としては、1択1問でcheckedさえもあり。
Re: (スコア:0)
「妹認証」のCAPTCHAとしての新しさは、なくなってしまいます。
新たななぞなぞ問題を考えました、というくらいのことかな。
Re:これはCAPTCHAなのか? (スコア:2, おもしろおかしい)
タレこみのタイトルから最初に受けた印象では、
質問文「お兄ちゃんなんてだいっ嫌い!!!」などと
主旨が如何様にも解釈できる文章を提示し、
画像からその質問の背景を、
ツンなのかヤンなのかなど推察して最適な応答を返さなければ
ならないシステムだと妄想したが、期待は激しく裏切られた。
問題は固定のようだけど (スコア:2, すばらしい洞察)
画像→テキストルーチンに、問題テキスト→答えのテーブルを組み合わせたら攻略できるし、
出てくるテキストは問題テキストのうちのどれかであることが分かりきっているので、
下手したらランダム英数入力型のCAPTCHAよりも攻略が簡単。
なぞなぞ系は、あらかじめいくつか用意しておいてそれを使うことはできても、
自動生成するのが難しいので、問題→答えテーブルが作れないくらい大量に
問題を用意するのが難しいんじゃないかなぁ。
1を聞いて0を知れ!
Re:問題は固定のようだけど (スコア:2, おもしろおかしい)
Q「頭がX個,腕がY本,足がZ本,なーんだ」
A「おばけ」
頭の体操より (スコア:2, おもしろおかしい)
A「語群に選ばれた」
「なんとかインチキできんのか?」
Re: (スコア:0)
[ヘリコプター 鳥 飛行機 コウモリ].all? {|item| 飛べる === item}
もtrueになるだろうし、
[ヘリコプター 鳥 飛行機 コウモリ] === [ヘリコプター 鳥 飛行機 コウモリ]
(語群に選ばれた、つまり同じ集合と===で比較する)
もtrueだし。
Re:問題は固定のようだけど (スコア:2, すばらしい洞察)
逆にメジャーなCAPTCHAライブラリはクラックされると一網打尽。
要は適材適所ということで。
Re: (スコア:0)
Re:問題は固定のようだけど (スコア:1)
#入力されたらアウト
Re:問題は固定のようだけど (スコア:1)
だったら、小学校の算数の問題みたいなのはどうだろ?
りんごが10個ありました、そのうち5個食べました、その後みかんが30個田舎から送られてきました
みかんを10個りんごを5個やまださんちにおすそわけしました、お礼にすいかを1個もらいました
食べた果物の種類と数を答えなさい
みたいな感じなら自動生成できそうな気がする
Re:問題は固定のようだけど (スコア:1)
ダミーの数字も入れる、など、機械に適当に解かれない程度複雑だったら、大丈夫かと。
# 以前、似たようなこと書いたら [srad.jp]"オバカ回答者も切り捨てですか?!"と突っ込まれた
1を聞いて0を知れ!
Re:問題は固定のようだけど (スコア:1)
状態になってるCAPTCHAに合うことがありますが、リロードしないで
結構ムキになって解読しようとがんばってしまいます。
あまり高度になると失敗したときに凹むのでやめてほしいです(笑
良くあるけど面白い試み (スコア:2, 参考になる)
いや、面白いね。その手の話は昔からあるけど、認証でその発想には行かなかった。
発想のキモはあくまでUIだから、CAPTCHA認証自体は何でも良いし、別にCAPTCHA認証でなくてもいいし(パスワード認証とかのUIでも良さそう)。ログインマネージャでもこういうの出てくるかな?
ちょっとした先祖帰り?(Re:良くあるけど面白い試み (スコア:2, 興味深い)
で、これのキモは「画像化された文字列で行われた質問に連想符丁で返して認証してもらう」と言う複合技にある訳で…あくまでも雛形ですよ。
問題は、自然言語にかなり依存しますから、符丁の難易度にムラが出てしまう事や、既にレスが出ていますが「攻略法」が出来てしまう事では…
「攻略法」について言えば、辞書の語数を多くした上で質問を記述した画像にかなり幅の広い揺らぎを持たせないと厳しいとは思いますが、この手の符丁だと下手な辞書の拡大は本来の認証がやりにくくなる素になりかねない。(この方式で組織内部の隠語やスラングを下手に濫用するのは、キーロガーなどへの脆弱性を大きくしかねない…今認証している組織やサイトを特定される事自体が危険である場合は少なくなさそうだし、コンピュータ間をSSLで繋いでいてもキーロガーの情報を基にしたソーシャルハッキングや偽サイトに誘導させた時の認証情報実績を基にした辞書攻撃によって認証を突破する糸口を捕まれ兼ねない)
従来どおりのCAPTCHAと同じような難読さの強さを望むのならば、複数のフォントをランダムにした上で(それこそ一昔前までよくあった凶悪事件の犯行声明文のように新聞の活字を切り貼りした感じなランダムな書体と字間ピッチで…)妨害用の線や点のノイズを散らせれば済みますが、回答については適切な語数と表現のゆらぎが許容されないと、語数の少なさや傾向の偏りに依存する統計学的な脆弱性とか符丁が多すぎて使う側が混乱する事による認証性の悪さが出そうですね。
正直、認証性でだけ見るのならばマイコン初期のADVやRPGのようなややこしさを本質的に抱えてる上で(もちろん、それを逆手に取る手法で認証辞書を組む方法もあるので五分五分ですが)色々とソーシャルハッキング対策に気配りしてやらないといけないので、実用化するにはかなりのチューニングが必要かも。
Re: (スコア:0)
さらにコミュニケーションらしく (スコア:2, 興味深い)
コミュニケーションらしくということにフォーカスすると、認証内容自体はかなり限定的でも良いわけで。
例えばブログのトラックバックなんかだったら記事の内容の感想をキーにするのも面白いかも。
「ねえねえ、今日のお話、何が面白かった?」
--> 作者が選んだキーワードを含む場合
「えへへ、嬉しいな……」
--> 作者が選んだキーワードを含まない場合
「えええ~、そんなこと言ってないのに……嫌い」(5分間拒否)
といった感じで、作者が介在することで画一的になるのを防ぐことができる……かな?
Re:良くあるけど面白い試み (スコア:1)
>発想のキモはあくまでUIだから、CAPTCHA認証自体は何でも良いし、別にCAPTCHA認証でなくてもいいし(パスワード認証とかのUIでも良さそう)。ログインマネージャでもこういうの出てくるかな?
たれ込まれている「妹認証」(のデモ)では問と回答が別々ですけど、表示された機械では読みにくい文字列を打ち込ませるよくある手法でも、そんなふうにちょっと飾る手法は使えますね。
ポップな絵などをつけて雰囲気を和らげる手法は、色々使い道がありそうです。ぱっと思いつくところでは、ネットゲームでのアカウント取得時の自動ツール避けとか。
*:いわゆるCAPTCHA
blog等のspamコメント避けのは、たいていのが機械で容易に認識できる代物で、狙い撃ちされればひとたまりもなし。どうせ狙い撃ちには無力ならば、英数字を6文字も打たせるな…。
Re: (スコア:0)
なんどもログイン・ログアウトを繰り返す輩が現れるので駄目です!
攻略 (スコア:2, 参考になる)
非常に斬新なCAPTCHA? (スコア:0)
すいません初心者です。 (スコア:0)
初心者なんですだれか教えてください。><
答えるな! (スコア:2, おもしろおかしい)
みんな、答えるんじゃない!
Re: (スコア:0)
# 完全に混ざっているのでAC
Re: (スコア:0)
#当然AC
Re: (スコア:0)
「支店を板に吊るしてギリギリ太るカレーセット」
妹「2~10文字で入力してね」
マジでわかりません。何か趣旨間違ってるのかな?
Re: (スコア:0)
それは、「うほっ」
正しくは「アーッ!」
これは導入すると (スコア:0)
タイトルだけ見て (スコア:0)
#さすがにAC