パスワードを忘れた? アカウント作成
31680 story
変なモノ

新しいCAPTCHA方式 「妹認証」 46

ストーリー by mhatta
どうしても突破できん 部門より

znc 曰く、

GIGAZINEの記事によると、新しいCAPTCHA認証として「妹認証」なるものが公開されたとの事です。最初に言っておきますが、これはネタではありません。真剣にボット対策を検討した結果との事です。

この認証システムはMITライセンスで無償提供されています。質問文と回答文において日本語を完全にサポートしており、質問文はPHP+GD+TTFフォントによる画像出力によって質問の抜き取りを困難にしています。質問文に対して回答をする事で認証を行なうのですが、この答えが画像に出ている文字列を記入するだけではなく、多少考えて記入する必要もあるため、機械的にクラックする事が極めて困難になっているとのこと。質問・回答文のカスタマイズはもちろん可能です。将来的には「ツンデレモード」という認証が中々されないモードも入るとか…。なお、名前の由来ともなっているデフォルト画像には、「れいにゃ」という妹系キャラが設定されています。この画像のカスタマイズも可能で、企業らしいお堅い画像に変更する事も出来ます。あとは自分でデモを試してみてください。

最近ではOCR技術の発達などCAPTCHAも一時期の強固さは誇れなくなってきていますが、ちょっとの工夫でまだまだ頑張れそうですね。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 難しい・・・ (スコア:5, おもしろおかしい)

    by YOUsuke (6796) on 2008年08月03日 0時14分 (#1395642) ホームページ 日記
    「おにいちゃんどいて!そいつ殺せない!」に「S県月宮』と答えたら不正解だった。
    難しいなぁ・・・。
    --
    妖精哲学の三信
    「だらしねぇ」という戒めの心、「歪みねぇ」という賛美の心、「仕方ない」という許容の心
  • これはCAPTCHAなのか? (スコア:4, すばらしい洞察)

    by fcp (32783) on 2008年08月03日 7時55分 (#1395722) ホームページ 日記

    これは正規の利用者なら当然知っており部外者は知らない可能性が高い「知識」を試すことによる認証であって、 CAPTCHA [wikipedia.org] ではないように見えます。はてなの「なぞなぞ認証」 [hatena.ne.jp]も同じ類です。こういう認証は CAPTCHA より古くからあるのではないでしょうか。

    だから悪いという話ではありませんが、 CAPTCHA でないものを CAPTCHA と呼ぶのは混乱の元なのでやめた方が良いと思います。

    それとも、もしかして最近ではコメントスパムを避けるための認証全般のことを CAPTCHA と呼んだりするのでしょうか。

    • Re:これはCAPTCHAなのか? (スコア:5, すばらしい洞察)

      by Masw. (17831) on 2008年08月03日 9時56分 (#1395766)
      いや、これは設問自体がおかしい(というかデモの中身が偏りすぎている)のであって、
      設問のひとつである「れいにゃ大好きって言って」などは普通に日本語としての認証を行っています。

      そもそもCAPTCHAはあなたが提示したWikipediaの記事にも書かれている通り、
      コンピュータと人間を区別する完全に自動化された公開チューリングテストに過ぎません。
      難読化された文字を入力したりビル・ゲイツの顔写真を見分けたり [srad.jp]するだけがCAPTCHAではないと、私は思いますよ。
      親コメント
      • Re:これはCAPTCHAなのか? (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2008年08月03日 10時55分 (#1395799)
        でもCAPTCHA(キャプチャ、"Completely Automated Public Turing test to tell Computers and Humans Apart";
        コンピュータと人間を区別する完全に自動化された公開チューリングテスト)なんですよね?

        本件で区別されているのは「コンピュータと人間」と言うより「人間とアレゲな人」だと思うのでやっぱり違うと思うのですよ。
        親コメント
        • Re:これはCAPTCHAなのか? (スコア:2, すばらしい洞察)

          by celtis (33470) on 2008年08月03日 12時25分 (#1395870)
          >コンピュータと人間を区別する完全に自動化された公開チューリングテスト

          むしろ、一般人と逸般人を区別するオタ度判定テストになってないですか?
          親コメント
        • by Anonymous Coward
          人間ならググれるから、質問がアレゲであっても問題なく「コンピュータと人間」が識別できる
          • by Anonymous Coward
            ググれば分かるような問題なら、ググレカスと罵倒される人間よりグーグルの鳩の方が正答しやすそうなもんだが。
      • by phenix (31258) on 2008年08月03日 11時17分 (#1395819)
        CAPTCHA解くことが難しかったときは、中国人雇って解かせてたりしてましたからね。
        日本語を理解しないと難しいっていうのは差別化できるかと。
        中国人でも、日本語わかるととたんに単価あがってしまうでしょうし。
        親コメント
        • Re:これはCAPTCHAなのか? (スコア:1, おもしろおかしい)

          by Anonymous Coward on 2008年08月03日 20時33分 (#1396029)
          >中国人でも、日本語わかるととたんに単価あがってしまうでしょうし。

          つまり津軽弁・薩摩弁認証を作ればいいわけですね。わかります。
          親コメント
          • by Anonymous Coward

            つまり津軽弁・薩摩弁認証を作ればいいわけですね。わかります。

            そんなの普通の日本人も突破できません
      • 専門知識を問わずに人間とそれ以外を区別するのであれば、ぐにゃぐにゃ文字の CAPTCHA よりも安全である要素がないと思いますし、専門知識を問うのであれば人間とそれ以外を区別するのではなく正規の利用者とそれ以外を区別しているので CAPTCHA でないと思います。どちらの使い方をするにしても、「ぐにゃぐにゃ文字の CAPTCHA よりも安全な CAPTCHA」にはなりえません。

        難読化された文字を入力したりビル・ゲイツの顔写真を見分けたり [srad.jp]するだけがCAPTCHAではないと、私は思いますよ。

        そんなことは僕も思いません。

        親コメント
        •  CAPTCHAかどうかはさておき、spamの投稿を防ぐという目的ならば、ぐにゃぐにゃ文字よりも「安全」かも。

           ぐにゃぐにゃ文字の類のいわゆるCAPTCHAをspam避けに使っているblog等でそれを突破したspam投稿が問題になっていないのは、spammerはそれを突破しなくても他の無防備なところに投稿するだけで十分効果があるからなのでしょう。
           将来、spammerがぐにゃぐにゃ文字の類のいわゆるCAPTCHAを突破するようになったならば、なぞなぞ認証の類の方がspam避けとして効果的になるかもしれません。

           ぐにゃぐにゃ文字の類のいわゆるCAPTCHAは、それさえ突破できれば、そのシステムを使ったblogやBBSの全てにspam投稿ができます。一方、ヒント・問を提示しそれに対する回答を求め、かつ各々の利用者にそれらを設定させるのであれば、そのblogシステム等全体への無差別なspam投稿は困難です。

          #ただ、その手のなぞなぞ認証の類は、それはそれで色々難がありますが。一意に答えられる問答を用意するのが難しいとか、答えを打ち込むのが面倒とか。
          親コメント
          • by the.ACount (31144) on 2008年08月04日 15時08分 (#1396388)
            >一意に答えられる問答を用意
            選択式にすれば可。
            --
            the.ACount
            親コメント
            • >>一意に答えられる問答を用意
              >選択式にすれば可。

               マテマテ。それじゃspamを防ぐ効果が激減ですぞ。
               とはいえ、その手のがあるだけで無差別なspamは激減するので、今はそれでも十分かもしれませんね。

               そのシステムに対応したspam投稿を防ぐつもりなら、4択4問の全問正解必須で、ランダムもしくは総当たりでの正解率1/256ならまだ許容範囲かな。(それぐらいなら、他のblog等に行ってくれることを期待)
               また、選択肢の数と問の数も可変にして、その管理者の意向でもっとぬるめにも厳しめにもできるようにするべきか。極端にぬるめな設定としては、1択1問でcheckedさえもあり。
              親コメント
      • by Anonymous Coward
        そういう意味でしたら、「なぞなぞ認証」もCAPTCHAですから、
        「妹認証」のCAPTCHAとしての新しさは、なくなってしまいます。

        新たななぞなぞ問題を考えました、というくらいのことかな。
    • Re:これはCAPTCHAなのか? (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2008年08月03日 8時59分 (#1395747)
      だよね。

      タレこみのタイトルから最初に受けた印象では、
      質問文「お兄ちゃんなんてだいっ嫌い!!!」などと
      主旨が如何様にも解釈できる文章を提示し、
      画像からその質問の背景を、
      ツンなのかヤンなのかなど推察して最適な応答を返さなければ
      ならないシステムだと妄想したが、期待は激しく裏切られた。
      親コメント
  • by greentea (17971) on 2008年08月03日 10時21分 (#1395779) 日記
    この手の認証は問題が固定だと意味がない。

    画像→テキストルーチンに、問題テキスト→答えのテーブルを組み合わせたら攻略できるし、
    出てくるテキストは問題テキストのうちのどれかであることが分かりきっているので、
    下手したらランダム英数入力型のCAPTCHAよりも攻略が簡単。

    なぞなぞ系は、あらかじめいくつか用意しておいてそれを使うことはできても、
    自動生成するのが難しいので、問題→答えテーブルが作れないくらい大量に
    問題を用意するのが難しいんじゃないかなぁ。
    --
    1を聞いて0を知れ!
    • by Anonymous Coward on 2008年08月03日 10時41分 (#1395785)
      なぞなぞの自動生成なんて簡単だよ?

      Q「頭がX個,腕がY本,足がZ本,なーんだ」
      A「おばけ」
      親コメント
      • 頭の体操より (スコア:2, おもしろおかしい)

        by gendohki (16311) on 2008年08月03日 10時52分 (#1395795)
        Q「次の語群に共通する事は何か?  語群:ヘリコプター 鳥 飛行機 コウモリ」
        A「語群に選ばれた」
        --
        「なんとかインチキできんのか?」
        親コメント
        • by Anonymous Coward
          なんかそれってRubyの===(=が3つ)演算子を想い出しました。

          [ヘリコプター 鳥 飛行機 コウモリ].all? {|item| 飛べる === item}

          もtrueになるだろうし、

          [ヘリコプター 鳥 飛行機 コウモリ] === [ヘリコプター 鳥 飛行機 コウモリ]
          (語群に選ばれた、つまり同じ集合と===で比較する)

          もtrueだし。

    • by rose (10717) on 2008年08月03日 10時47分 (#1395790)
      コメントスパム等の不特定多数への攻撃を防ぐくらいの目的であれば十分なんじゃないですかね。
      逆にメジャーなCAPTCHAライブラリはクラックされると一網打尽。
      要は適材適所ということで。
      親コメント
    • 問題の自動生成か…
      だったら、小学校の算数の問題みたいなのはどうだろ?
      りんごが10個ありました、そのうち5個食べました、その後みかんが30個田舎から送られてきました
      みかんを10個りんごを5個やまださんちにおすそわけしました、お礼にすいかを1個もらいました
      食べた果物の種類と数を答えなさい
      みたいな感じなら自動生成できそうな気がする
      親コメント
  • by fiercewinds (22740) on 2008年08月03日 14時18分 (#1395911) 日記
    へええ。UIを人間的にして「単なる邪魔な作業」から「手間をかける価値のあるコミュニケーション」に昇格しているのか。結局Webページの認証だから、そのページの傾向に合わせてUI(キャラクター)を選べばいいし。
    いや、面白いね。その手の話は昔からあるけど、認証でその発想には行かなかった。

    発想のキモはあくまでUIだから、CAPTCHA認証自体は何でも良いし、別にCAPTCHA認証でなくてもいいし(パスワード認証とかのUIでも良さそう)。ログインマネージャでもこういうの出てくるかな?
    • 連想式の符丁だけならば「ヒミツの質問」と言う形である程度の実装が行われていたかと。
      で、これのキモは「画像化された文字列で行われた質問に連想符丁で返して認証してもらう」と言う複合技にある訳で…あくまでも雛形ですよ。

      問題は、自然言語にかなり依存しますから、符丁の難易度にムラが出てしまう事や、既にレスが出ていますが「攻略法」が出来てしまう事では…

      「攻略法」について言えば、辞書の語数を多くした上で質問を記述した画像にかなり幅の広い揺らぎを持たせないと厳しいとは思いますが、この手の符丁だと下手な辞書の拡大は本来の認証がやりにくくなる素になりかねない。(この方式で組織内部の隠語やスラングを下手に濫用するのは、キーロガーなどへの脆弱性を大きくしかねない…今認証している組織やサイトを特定される事自体が危険である場合は少なくなさそうだし、コンピュータ間をSSLで繋いでいてもキーロガーの情報を基にしたソーシャルハッキングや偽サイトに誘導させた時の認証情報実績を基にした辞書攻撃によって認証を突破する糸口を捕まれ兼ねない)

      従来どおりのCAPTCHAと同じような難読さの強さを望むのならば、複数のフォントをランダムにした上で(それこそ一昔前までよくあった凶悪事件の犯行声明文のように新聞の活字を切り貼りした感じなランダムな書体と字間ピッチで…)妨害用の線や点のノイズを散らせれば済みますが、回答については適切な語数と表現のゆらぎが許容されないと、語数の少なさや傾向の偏りに依存する統計学的な脆弱性とか符丁が多すぎて使う側が混乱する事による認証性の悪さが出そうですね。

      正直、認証性でだけ見るのならばマイコン初期のADVやRPGのようなややこしさを本質的に抱えてる上で(もちろん、それを逆手に取る手法で認証辞書を組む方法もあるので五分五分ですが)色々とソーシャルハッキング対策に気配りしてやらないといけないので、実用化するにはかなりのチューニングが必要かも。
      親コメント
      • by Anonymous Coward
        言いたいことはわかるけど、コメントをぶら下げるところを間違えた? 親コメントは認証手法そのものじゃなくて認証のインタフェースを改善することで認証の手間を心理的に軽減させることができる、という論点ですよ。
    • 返信も兼ねてちょっと自己レスで。

      コミュニケーションらしくということにフォーカスすると、認証内容自体はかなり限定的でも良いわけで。
      例えばブログのトラックバックなんかだったら記事の内容の感想をキーにするのも面白いかも。

      「ねえねえ、今日のお話、何が面白かった?」
      --> 作者が選んだキーワードを含む場合
            「えへへ、嬉しいな……」
      --> 作者が選んだキーワードを含まない場合
            「えええ~、そんなこと言ってないのに……嫌い」(5分間拒否)

      といった感じで、作者が介在することで画一的になるのを防ぐことができる……かな?

      親コメント
    •  なるほど。「手間をかける価値のあるコミュニケーション」ってのは褒めすぎだと思いますが、いわゆるCAPTCHA(*)の多くに見られる無味乾燥さが薄れているのは、確かに面白い試みです。

      >発想のキモはあくまでUIだから、CAPTCHA認証自体は何でも良いし、別にCAPTCHA認証でなくてもいいし(パスワード認証とかのUIでも良さそう)。ログインマネージャでもこういうの出てくるかな?

       たれ込まれている「妹認証」(のデモ)では問と回答が別々ですけど、表示された機械では読みにくい文字列を打ち込ませるよくある手法でも、そんなふうにちょっと飾る手法は使えますね。

       ポップな絵などをつけて雰囲気を和らげる手法は、色々使い道がありそうです。ぱっと思いつくところでは、ネットゲームでのアカウント取得時の自動ツール避けとか。

      *:いわゆるCAPTCHA
       blog等のspamコメント避けのは、たいていのが機械で容易に認識できる代物で、狙い撃ちされればひとたまりもなし。どうせ狙い撃ちには無力ならば、英数字を6文字も打たせるな…。
      親コメント
    • by Anonymous Coward
      >ログインマネージャでもこういうの出てくるかな?

      なんどもログイン・ログアウトを繰り返す輩が現れるので駄目です!
  • 攻略 (スコア:2, 参考になる)

    by Anonymous Coward on 2008年08月03日 19時10分 (#1396007)
    馬鹿っていうなー! → 「馬鹿」 → 妹「うっ・・・」 フタエノキワミ、アッー! → 妹「アッー!」 れいにゃ大好きって言って → 「れいにゃ大好き」 → 妹「れいにゃもおにーちゃんのこと大好き♪」 あたいって最強 → 「最強」 → 妹「えへへ」 おにーちゃん私の煎餅たべたでしょー → 「うん」 → 妹「いいよ別に♪」 おにいちゃんどいて!そいつ殺せない! → 「どかない」 → 妹「・・・」
  • by Anonymous Coward on 2008年08月03日 8時01分 (#1395724)
    ただのなぞなぞ認証です。本当にありがとうございました。
  • by Anonymous Coward on 2008年08月03日 9時10分 (#1395754)
    「フタエノキワミ、アッー」ってどう返事すればいいんですか?
    初心者なんですだれか教えてください。><

    • 答えるな! (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2008年08月04日 10時02分 (#1396195)
      スラドに解いてもらうbotの書き込みだ!
      みんな、答えるんじゃない!
      親コメント
    • by Anonymous Coward
      あ、海外版だ。
      # 完全に混ざっているのでAC
      • by Anonymous Coward
        変な写真ばかり焼くんじゃない。
        #当然AC
    • by Anonymous Coward
      「ニコ厨氏ね」と返したら「(怒)」られました。

      「支店を板に吊るしてギリギリ太るカレーセット」
      妹「2~10文字で入力してね」

      マジでわかりません。何か趣旨間違ってるのかな?
    • by Anonymous Coward
      > 「フタエノキワミ、アッー」ってどう返事すればいいんですか?

      それは、「うほっ」

      正しくは「アーッ!」
  • by Anonymous Coward on 2008年08月03日 15時20分 (#1395941)
    サポセンに繋がらないの苦情が続出する。
  • by Anonymous Coward on 2008年08月05日 0時48分 (#1396820)
    猫認証のように妹キャラをずらっと並べて「お前の(脳内)妹はどれだ?」てので認証するのかと妄想

    #さすがにAC

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...