新たなアカウント窃取対策を研究するGoogle 45
ストーリー by hylom
盗む価値のあるもの、盗みやすいものが狙われる 部門より
盗む価値のあるもの、盗みやすいものが狙われる 部門より
あるAnonymous Coward 曰く、
本家/.より。先月Googleアカウントの乗っ取りが話題に登ったのが記憶に新しいところですが、Googleはパスワードに代わる新たな認証方式について研究している模様(WIRED)。
現在、Googleでは閲覧時に認証が必要となる場合(認証用のCookieがない場合)、携帯電話へ認証コードを送り、それを入力してもらうという「2段階認証」を提供しています。最新の研究はそれをもう少し進化させようとするもの。
具体的には、スマートフォンやスマートカード内蔵の「指輪」を使い、これをコンピューターに「タッチ」させることで認証を行えるようにするものです。
Googleは特別なソフトウェア無しでブラウザで使えるようにしたいとのこと。クラッカーとのイタチごっこに終止符を打つことはできるのでしょうか?
Java Ringの次はGoogle Ring? (スコア:2)
前世紀にJava Ringなるものがありましたが、結局流行らずに無くなってしまいました。
Google Ringはどうなりますかね。
#個人的には指輪より時計バンドに付けられる物希望。
--- de FTNS.
シャバデュビタッチヘンシーン!なのか? (スコア:1)
おもちゃのウィザードリングもRFIDだったら面白いんだけどなぁ?
Re: (スコア:0)
最近出てきた「ライダー」は、まさに指輪でセキュリティを解除してましたね。
あのパターンでは、最初の変身用の指輪を無くしたらあの人どうなるんだとか心配になったり。
敵に渡すな大事なリモコン (スコア:0)
その手の話はウルトラマンや鉄人28号の頃からあるような。
指輪というなら、レオが指輪じゃなかったかな?
Re:敵に渡すな大事なリモコン (スコア:1)
エースも指輪ですね。
Re: (スコア:0)
[ヘルプ]メニューの[トラブルシューティング]から、遺失物探索ウィザードにアクセスしてください。
一つの指輪 (スコア:1)
Googleも携帯電話必須かよ・・・ (スコア:0)
会話や即時応答メールする相手がいないので携帯もっていないのだが
Google認証のために携帯もたないといけないのかよ・・・orz
Googleさん、ロハ携帯くれ。
#親が危篤⇒死亡⇒葬儀の数日間だけは、携帯がいるかもなー、と思ったけど。
Re:Googleも携帯電話必須かよ・・・ (スコア:1)
アプリ版なら別に携帯電話じゃなくても大丈夫ですよ。AndroidのWi-FiタブレットでOK。
https://play.google.com/store/apps/details?id=com.google.android.apps.... [google.com]
Re:Googleも携帯電話必須かよ・・・ (スコア:1)
アルゴリズムが公開されているなら、PC版を作った方が早いけど。
Re:Googleも携帯電話必須かよ・・・ (スコア:2)
耐タンパデバイスっていうほどのものじゃないですけど、PCから独立してることに意味があるんじゃ…これ必須になるころにはAndroidデバイスってだけでよければ5千円以下くらいまで落ちてくるんじゃないですか?
Re:Googleも携帯電話必須かよ・・・ (スコア:1)
まあ、極端に長いパスワードにして、パスワード管理ツールの類を使っても(正しい用法を守っていれば)そこまでの目的は達成出来ますから、GoogleがAndroidアプリ必須にでもしない限りは、Androidエミュを使う発想は無駄ですが。
Re:Googleも携帯電話必須かよ・・・ (スコア:1)
http://www.bluestacks.com/ [bluestacks.com]
こういうのもありますね。
Re: (スコア:0)
アルゴリズム自体は既知みたいです (RFC4226)
http://www.moongift.jp/2012/10/20121015-2/ [moongift.jp]
https://github.com/gbraad/html5-google-authenticator [github.com]
ただGoogleの二段階認証でのsecret keyが何かわからない気がする。
Re: (スコア:0)
まあ銀行のネットバンキングにしてもワンタイムパスワードを使わせるのに携帯のSMSを使ったりハードウェアキーを持たせたりしてますが、物理デバイス依存になるのはしょうがないのかなあ。当然ながらこの方式では物理デバイスの紛失や盗難がリスクとして指摘されていますが。
Re: (スコア:0)
ユーザー「デバイス紛失しました」
Google「仕方ないですねえ、じゃああなたの生年月日は?」
じゃあ元の木阿弥ですよね。
紛失対策を時間のかかるもの(郵送とか)にするのもなんだし、どうすんだろ。
Re: (スコア:0)
>じゃあ元の木阿弥ですよね。
Google2段階認証ではラストリゾートとして使い捨てパスワード10個が発行されるようになってる。
これを使って各種の設定無効化(デバイスのひもづけ解除)などができる。
これすらなくすような場合にはもう法務部との書面のやり取りだろうな。
Re: (スコア:0)
人的コストの増加を極端に嫌うGoogleが1ユーザーごときに法務部との書面のやり取りを行うなんてちょっと考えられない
Re: (スコア:0)
そうだから
「絶対に手放さないようなところの奥底にしまっとけ」と
強い調子で書いてあるような紙すらなくすようなうすらばかは
事実上そのアカウント破棄しろってことだよ言わせるなよ恥ずかしい
Re: (スコア:0)
音声通知先として登録する電話番号は固定電話でも大丈夫だよ
ただ普通は iOS か Android デバイス上のアプリケーションを使う
Re: (スコア:0)
震災直後にPersonFinderを使いたくてgmailのアカウントを取得しましたが
携帯番号を登録しろには一瞬目が点になりました
#その携帯に確認電話が自動で来るという
只、PersonFinderで親族の安否を確認できたのも事実ですが・・・
Bluetooth (スコア:0)
辺りが赤外線リモコン並みに省電力ならば色々やり様があると思うんだけどねぇ
Re: (スコア:0)
BLEっすね。
行きつく先は (スコア:0)
ノーガード戦法
チャリーン (スコア:0)
スマートカード内蔵の指輪ってことは電車に乗ったりジュースも買えるのでしょうか
財布持たなくても指輪を付けっぱなしにしておけばOKだったら結構便利かも
ブラウザ以外で使うときが面倒なんだよなぁ (スコア:0)
IMAPで接続するとか、RSSリーダーアプリで使うとか、Chrome Syncで使うとか。
アプリごとのパスワードを大量に使うハメになり2段階認証は辞めたので
認証を使う側が対応してなければ2段階認証も指輪認証も同じような気がします。
財布代わりのデバイスを作るぜって気概で指輪作るんだったら
そのついででってことでしょうけど。
アプリ固有のパスワード (スコア:1)
確かにあれは面倒ですが、安全性を考えたら後からリボークしやすいアプリ固有のパスワードという考え方は良いと思います。
Googleが提供してくれているアプリ固有のパスワードを管理するためのページのユーザーインターフェースは使いにくいのが残念。
屍体メモ [windy.cx]
生体認証は? (スコア:0)
まだですか?まぁ、ここまでいくと、変更が不可能ですから、悪用されたときはすべてが完全にお手上げですけどね。
自分の身体が固定セッションみたいなものだ。
生体認証情報をそのまま送信するんじゃなくて、自分でソルトみたいなものをつけて送ればいいのかな。
Re: (スコア:0)
>~自分でソルトみたいなものをつけて送ればいいのかな。
自分でトルソみたいなのものをつくって送ればいいのかな。と空目した。。。。。。。(胴体認証!?)
Re: (スコア:0)
例えば指紋などをデジタルデータに変換して認証すると
結局そのデジタルデータを盗まれれば終わりってことになってしまう。
指紋を512bitのキーに変換しても、それを解析は難しくてもマルウェアその他諸々でキー自体を見てしまうことはさほど難しくないだろうから。
かといって指紋の画像を直接送りつけてサーバ側で判断するようにしても、それだと指紋という超重要な個人情報を公開してるも同じになる。
指紋認証を取り入れている企業は最近だと結構あるし、指紋画像が盗まれたら、ルパンよろしくそういう認証も突破できることになる。
生体の情報そのもの、情報をデータに変換したも
Re: (スコア:0)
> 結局そのデジタルデータを盗まれれば終わりってことになってしまう。
変更できないからもっと悪い。
リボークは…。おっと誰か来たようだ宅配便かな?
バズワードに代わる新たな宣伝方式も発明してください (スコア:0)
もう単語の使い捨てはうんざり
Re: (スコア:0)
バズワードもバズワード化して使い捨てられた過去から考えれば、
表題の「バズワードに代わる新たな…」と、
本文の「単語の使い捨てはうんざり」は噛み合っていないように思えます、
とマジレス。
わかってないなあ (スコア:3, 興味深い)
Googleは自社以外にも採用してもらえるような汎用性のある認証システムを作ろうとしているんじゃないかな。てかGoogleのサービスって無料メールだけじゃないし、課金制のサービスやWalletとかクラックされたらガチでヤバいようなものもあるじゃんよ。
それに開発に乗り出したそもそもの動機はパスワードを使った認証システムは現代においてはもはや充分な堅固さを備えているとは言えなくなっているからだわな。モバイル端末ですら相当な処理能力を備えているし、一昔前ならスパコンを使うようなレベルの仕事が今じゃクラウドで数分でこなせてしまうからな。
Re: (スコア:0)
フリーメールのアカウント如き、という人にとっちゃ、課金制のサービスがあろうが関係ない話だな。そんなもん使わないんだから。
そして、そういう認識の人が多数だろう、という推測だよ。俺は元コメに賛同するけどね。
# ネットなんて所詮暇潰しの道具
Re: (スコア:0)
>俺は元コメに賛同
元コメ本人乙。てか、
>そして、そういう認識の人が多数だろう、という推測
この根拠は?自分と他人の区別ができない人は所詮子供ですよ。
Re: (スコア:0)
根拠はなんとなくそう思うとしか言いようがないね。
違う常識のコミュニティもあるのは他のコメントを見ればわかるが、
かと言ってこちらの推測を一刀両断される筋合いもないと思うがね。
Re: (スコア:0)
Googleは自社以外にも採用してもらえるような汎用性のある認証システムを作ろうとしているんじゃないかな。
Google Authenticatorは採用されているサービスがありますね。
Dropbox [dropbox.com]
LastPass [lastpass.com]
Re:過剰すぎるセキュリティーは利便性を阻害するだけ (スコア:3)
殆どのアカウントなど作り捨て、使い捨てのものばかりだろうに
全てのアカウントに対して過剰な個人情報要求するようなことをすればあっという間に廃れるで?
一個数十から数百KBの使い捨てアカウントそのものなんか見てないですよ。Android端末でもiPhoneでも、たぶんWindows Phoneでも、きっとBlackBerry 10デバイスでも、ユーザはGoogleアカウントを取るじゃないですか。あれは戸籍なんですよ。Google籍。もう他所のサービス自体が無い。捨て垢は今まで通り作れると思いますよ? ただ、価値のあるアカウントを持っていないと日常で何もできなくなる。どうしてそんな簡単なことが理解できないのか・・・・・・・
Re:過剰すぎるセキュリティーは利便性を阻害するだけ (スコア:1)
指輪(というかデバイス認証)を併用すると、
たとえば、ユーザを識別できる値を永続的(ブラウザなら、Cookieに
セットしておくとか)に設定しておき、指輪だけで認証をさせる
(もちろん、より重要な操作の際にはパスワードでの再認証を求める)
なんていう使い方も考えられますね。
この場合、パスワードを入れるより利便性は上がるとおもいます。
Re: (スコア:0)
指輪を使うとなると、それはそれで盗難とか、強盗が指輪を奪おうとして指を切り取っていったりとか、心配事が増えるかも
一応、すでにMaximのiButtonを填め込んだ指輪はある(が、最新の製品リストには載っていない?)
http://www.maximintegrated.com/products/ibutton/solutions/product.cfm?ID=249 [maximintegrated.com]
馬鹿でかいカレッジリングはめてるヤンキーどもにはこの大きさも気にならないのかも
Re:過剰すぎるセキュリティーは利便性を阻害するだけ (スコア:1)
>たかがフリーメールのアカウント如きをそこまで必死になって守る意味がわからない
お前がそう思うならそうなんだろう、お前の中ではな
Google はSLAつき企業向け有償サービスも教育機関研究機関向けサービスもやってるんだがそれは一切無視かそうか
Re: (スコア:0)
1. 捨て、使い捨てのアカウントは儲けにならない可能性
2. 全てのアカウントに採用する気はない可能性
Re: (スコア:0)
Googleアカウントはもっとも高値で取引されるアカウントです。
世界中の犯罪者がGoogleアカウントを狙っています。