The diference between our method and existing cryptographic technologies is that the user is not asked to memorize SK. Instead, the graphical representation of SK is embedded into a two-dimensional image ISK of a momentary state of a nonlinear Hamiltonian two-dimensional lattice system.
流し読み (スコア:4, 参考になる)
この論文で考えているのは,
相手に暗号文(暗号化されたデータ)が渡っていて,相手は時間の許す限りブルートフォースアタックできる,という状況でも堅固な暗号を作るにはどうしたらいいか?ただし人間が覚えられるパスワードの文字数はそんなに大きくないとする.
というものです.そのため,「誰でも思いつくようなパスワードを使っちゃった」というような間抜けは最初から相手にしていないようです.
ですので,一般のログイン向けの暗号化というより,どうしても第三者に見られたくないデータの保管法とかそういう感じ?
手法としては,
・暗号化には非常に長い文字列を使う
・ただしそれだと人間は覚えきれないので,短い部分+長い部分に分割
・短い部分のみ人間が記憶(当然覚えやすい文字列などではない)
・長い部分は,正しい文字列を出発点にしたハミルトニアンの時間発展を計算するとCAPTCHA画像として現れる
まあ,必ずほぼ決まった文字数が出てくる(世の中のサービスで使われている)CAPTCHAに比べるとコンピュータの自動解析は難しそうではあります.
#が,言うほど安全か?というと疑問も.
計算にカオスを使っているのは,ちょっとでも違う鍵(短い部分)からスタートすると全然違う画像になるのを保証するため.ちょっと違うパスワードを入力しても似た画像が出てこられると意味ないですからね.
この手法の安全性はCAPTCHAがどの程度人間とコンピュータを見分けられるかに依存します.人間に近い精度で,人間より何桁も速くCAPTCHAを解くことが出来る(そもそも文字があるのかどうかを判断して,文字の場合は何が書かれているかを正確に認識)ようになるとこの手法は意味をなしません.
#既存の最善のCAPTCHAがどの程度きちんとTuring testとして働くのかはよく知りません.
Re:流し読み (スコア:2, 参考になる)
こちらもざっと見だけど、大意は同じながら、どうも解釈が違う風味。
要は、本文となるプレーンテキストをCAPTCHAにして、それをパスワードで暗号化すれば、解読出来ないんじゃない?って提案に読める。
そもそも、総当りでの解読が出来るのは、平文のプレーンテキストには、コンピュータでも認識可能な「意味の有る文字列」が含まれている為。
で、普通に暗号を解読すると「意味不明」の語列になるので、大抵のパスワードは「間違い」と判明して除外出来てしまう。
一方、元々がCAPTCHAなら、コンピュータ視点では「全て意味の無い模様」になるので、総当りでも「正解」が見つからないと云う理屈。
ちなみに、その前提条件は、「パターン認識については人間はコンピュータを上回る能力を持っている」事。
CAPTCHAも、それを前提に作られたものなんで、これを肯定しないと話が始まらない。
で、総当りが有効なのは、コンピュータの計算能力で「はずれのパスワード」を無人で除外出来ると云うのが前提。
が、CAPTCHAだと、「はずれ」の判断が出来ないから、総当りだと、全パターンを人間が当たり外れのチェックをする事になるので、実用上解読不可能になるってのが、本論文の基本思想と読める。
尤も、これをどう活用するかはまだ不明だし、少なくとも現時点では、簡単なパスワードを強化する様な効用は無い模様。
応用次第では色々と使えるのかも知れないけど、現状でのパスワード運用を劇的に改善してくれるほどの代物では無さそう。
-- Buy It When You Found It --
違う違う (スコア:1, 参考になる)
>本文となるプレーンテキストをCAPTCHAにして、それをパスワードで暗号化すれば、解読出来ないんじゃない?って提案に読める。
違うよ。
論文の以下の部分を読めばわかるけど、
The diference between our method and existing cryptographic technologies is that the user is not asked to memorize SK. Instead, the graphical representation of SK is embedded into a two-dimensional image ISK of a momentary state of a nonlinear Hamiltonian two-dimensional lattice system.
注:SKはStrong Key(十分な強度を持つ長い鍵)
十分な強度を持つ鍵をイメージに埋め込むから、(CAPTCHAが人間にしか解けなければ)長い鍵を覚えなくてもコンピュータには解きにくい暗号化だよね、という親コメの話になる。
Re: (スコア:0)
「(素の)CAPTCHAの画像である」と判定できるならこの方法はほぼ無効化されるってことですかね。
#そしてそれの対策に「短い文字列」が長くなって・・・
Re:流し読み (スコア:1)
>「(素の)CAPTCHAの画像である」と判定できるならこの方法はほぼ無効化されるってことですかね。
そのようです.
簡単に「間違った鍵から出発して得られた画像も,機械にとっては正解と同じような物で判別できない」とか流されてるだけのようですので.
アニメキャラでというのはどうでしょう? (スコア:3, おもしろおかしい)
例えば、
朝比奈みくるちゃん
鹿目まどかちゃん
イーブイ(ポケモン)
巴マミちゃん
真城最高くん
トロロ
で、「アカイトマト」とか。
Re:アニメキャラでというのはどうでしょう? (スコア:1)
トロロ……?
Re: (スコア:0)
多分、公開から一週間以内に「答え合わせ一覧表」みたいなまとめサイトができて脆弱になる。
さらに、「俺の『ア』は『朝比奈』の『ア』じゃなくて、『朝倉』の『ア』なんだよ!」というこだわりを全文字に追求して、パスワード変更→リロードを繰り返すようになったり。
総当たり対策なら、ホームポジションを一つずらす、が秀逸だと思うの (スコア:2, すばらしい洞察)
思いついて自信満々で人に教えたら「それ、昔からある割と有名な方法じゃないの?」と返された苦い思い出。
光の速さで歩けは無茶だ!せめて走らせろ!
Re: (スコア:0)
ずらすととたんにキーボードが打てなくなる不思議。
パスワードについて、素人の素朴な疑問 (スコア:1)
・マスクは必ず必要? 公の場じゃ無理だけど自宅や個室ならアンマスク(?)も選べたらいいのに
・文字じゃなくてコマンド型(カーソルキーを上上下下左右左右)とかも組み合わせられればいいのに。
・好きな漫画や映画の画像リストから、予め設定した順に選ぶのを既存パスワードに組み合わせるとかは駄目?
#まあ、総当たりでやられたらどうせ解かれるんですけどね。
橋の下からこんにちは
Re:パスワードについて、素人の素朴な疑問 (スコア:2)
>必ず英数字だけど、自国の国語での入力はなぜだめなの?
ブラウザがパスワード欄にて自国語を受け付けてくれない可能性が高いです
#受け付けてくれるものもあったんだけど、最近はないんじゃないかなー
Re: (スコア:0)
Re:パスワードについて、素人の素朴な疑問 (スコア:1)
私も素人ですが
>・必ず英数字だけど、自国の国語での入力はなぜだめなの?
日本語パスワードが使えるシステムもありますね。「なぜ」に関しては、単にコストの問題かと。
>・マスクは必ず必要? 公の場じゃ無理だけど自宅や個室ならアンマスク(?)も選べたらいいのに
マスクしないものも、マスクする/しないを設定で選べるものもありますね。
なぜマスクするのがスタンダードなのかと言えば、「やっちゃいけないのに他人に見られる環境下でマスクを外しちゃう人が居るから」でしょうね。
>・文字じゃなくてコマンド型(カーソルキーを上上下下左右左右)とかも組み合わせられればいいのに。
あると言えばある……というか、RPGか脱出ゲームの話してるみたいな感じですね(笑)
これの難点は「入力に失敗することが多い」の他に「パスワードが画面に表示されたりメールで送られたりしても正しく解釈できない人が居る可能性がある」ってトコかな。
>・好きな漫画や映画の画像リストから、予め設定した順に選ぶのを既存パスワードに組み合わせるとかは駄目?
いいですけど……著作(おっと誰か来たようだ
Re:パスワードについて、素人の素朴な疑問 (スコア:1)
画像を使うユーザ認証は、CAPTCHA以外にも
など,様々な方式が研究されているそうです.
参考:静岡大学 西垣研究室 [shizuoka.ac.jp]の論文 [shizuoka.ac.jp]
予想 (スコア:0)
「パスワードをエロくしてみた」
とかいうヤツが絶対出てくる。
Re:予想 (スコア:2, おもしろおかしい)
「ユーザーが記憶する部分 × 画像として保存する部分」と「画像として保存する部分 × ユーザーが記憶する部分」とでカップリング厨が壮絶な宗教論争を始めるのですね。
Re: (スコア:0)
ついにセキュリティも萌とhentaiの時代か・・・
Re:予想 (スコア:1, おもしろおかしい)
ハンコ絵認証ですね。
堅気には区別が極めて難しい100の顔パターンを用いて強固なセキュリティを実現!
#本人も新クールの度に脳内DBを更新しないといけなくて大変そうだ・・・
Re: (スコア:0)
西又とかあだちみつるのヒロインが山ほど出てくるんですか?(´・ω・`)
うーむ (スコア:0)
Re:うーむ (スコア:1)
こういうの [hashapass.com]のパラメータをOCR耐性付けて保存するって話、ですよねきっと。
あれ?
ってことは単純に2つの文字列を結合するだけ?
…字句通りに受け取っていいのかな?
片方が「qwerty」とか脆弱じゃつないでもほとんど意味無いような…
Re: (スコア:0)
>片方が「qwerty」とか脆弱じゃつないでもほとんど意味無いような…
わぁーなんで、俺のパスワードがここに書かれているんだよ!w
冗談は、おいといて
OCRで解析ができないと考えると、画像を見ながら答えれる程度でパスワードを長くすることができるので
少なくとも以前よりよいのでは?また、画像の部分は、qwertyとか簡単ではなくても答えられると思う。
でも、OCRで簡単に解析できると考えると前と同じですね。OCR解析時間が増えるぐらい?
Re: (スコア:0)
PDF見ても概念図だけで。具体例を書いて欲しかったな。
論文タイトルのカオスってのは、乱数をカオス理論で作ったってだけ?
重大な穴を見つけた (スコア:0)
ユーザーが忘れることを忘れている。
Re:重大な穴を見つけた (スコア:1)
てゆーか、判子や南京錠の鍵や指紋認証でも、「紛失」というものは避けられないわけで。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
自分はあっちこっちにあるパスワードを覚えていられなくなったので、
『数通りの覚えておく部分』+『紙に書いた対象毎のパスワード』
にしてます。紙は財布に保管してます。
パターン1+XXXXX
とかそんな感じ。
いい加減覚えきれんし、全部同じにするのも憚られるので。