認証の世界も「AI対AI」の戦いに? botを見破る技術「CAPTCHA」のハナシ
ほとんどの人が日常的に行っている、ログイン(サインイン)などの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受ける被害も多く、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者が対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。 本連載では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。 連載:今さら聞けない「認証」のハナシ 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介します。 執筆は、業務用の「トークンレス・ワンタイムパスワード」認証システム「PassLogic」や、一般向けにパスワード管理アプリ「PassClip」を提供する認証セキュリティ専門企業、パスロジの鳥羽信一氏。 (編集:村上万純)
学術論文「人間よりも賢く機能するボット:Google の画像ベースの reCAPTCHA v2 を無効化するオンラインシステム」サマリー(The Register) | ScanNetSecurity
文字の読解や画像クイズをやらされる「CAPTCHA」はボットの進化と共に難度が上がっていく運命
by Duncan Rawlinson - Duncan.co - @thelastminute ゲストユーザーがログインをする際に自らがボットではなく人間であることを証明するために、CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)というテストのクリアを求められることがあります。間違えると何度もやり直す羽目になり、イライラしたことがある人も多いはず。そんなCAPTCHAの課題は「ボットの進化と共に徐々にクリア難度が高くなっていかざるを得ない」とThe Vergeが論じています。 Why CAPTCHAs have gotten so difficult - The Verge https://www.theverge.com/2019/2/1/18205610/google
アカウント作成のときの文字認証の鬼畜さは異常 : 暇人\(^o^)/速報
アカウント作成のときの文字認証の鬼畜さは異常 Tweet 1: とれたてトマトくん(東京都):2010/11/01(月) 23:03:54.10 ID:XZSzdLxX0 交流サイト・フェースブック、ミクシィとサービス連携 Facebook 上に現れた mixi との連携を告知するページ アメリカ SNS 大手の Facebook は、サイト上で mixi とのサービス連携を開始した模様だ。 しかし、2010年10月29日1:00 現在、Facebook、ミクシィ共に公式な発表は行っておらず、 まだテスト中の可能性もある。 mixi Platform の認証画面。様々な情報を Facebook にフィードすることを示唆している。 Facebook 上で専用ページから「アカウントをリンクする」というボタンをクリックすると、 Facebook に投稿されたコメントやリンクなどのアクティビティを
ロックを解除しないと送信不可能にするJavaScript「slideLock」
twitter facebook hatena google pocket 近年スパム防止のためフォームにCAPTCHA(キャプチャ)と呼ばれる仕組みを導入しているケースが多く見られます。 これ読みにくい英数字なので、本当に読めない場合がありイラッとすることもあります。 JavaScriptライブラリの大御所jQueryのプラグインslideLockを利用するとロックを解除するだけなので、ユーザーフレンドリーになります。 sponsors 使用方法 slideLock Demoのファイルダウンロードが404なので、jslideLock.zipからダウンロードして下さい。 またjQuery UIの1.7+slider pluginが必要となります。 <script type="text/javascript" src="jquery-1.4.2.min.js"></script> <scri
livedoor Techブログ : 変な CAPTCHA だっていいじゃないか にほんじんだもの
こんにちは。開発のシニアスペシャリストをやっております、通称「にぽたん」こと谷口公一です。 私たちが日頃使っているネット上のサービスで、web 上のフォームの最後等に「ここに書かれている文字を入力してください」のように、絵に描かれた文字を目で読み取って入力するよう求められる場合があります。 言うまでもありませんが、これは通称「キャプチャ (CAPTCHA)」と呼ばれているもので、画像データは、人間ならそれを肉眼で認識して入力が行なえますが、機械には少し難しくなるため、フォームに文字を入力しているのが、機械ではないことを判定するためにこういう仕組みが存在します。 世の中にある CAPTCHA は、やたらと字がグチャグチャで読み取るのが非常に困難なケースもあります。 これは当然、安易に、白地に黒い文字を書いたような単純な画像を CAPTCHA に用いれば、それを解読するシステムは簡単に開発出来
高木浩光@自宅の日記 - こたえはきっとソースの中に 〜 ドコモのCAPTCHAモドキ
そもそもこのサービスにとってCAPTCHAが何の意味をなすのか疑問*1だが、それはともかく、この部分のHTMLソースを見ると、画像のURLに答えが書かれている。(図2の「gifcat/call.php?SID=948545」) これでは何の意味もない。 これの目的がもし、他サイトからのリンクで検索させられる事態を防ぐためであるなら、画像なんか表示せず、直接INPUTフィールドに値を埋め込むようにしておけばいい話だ。*2 <input name="attestationkey" value="948545" type="hidden"> ちなみに、図2で示される画像のURLに直接アクセスしてみると、図3のように、リロードする毎に(同じ番号の)違う画像が現れる。何回か繰り返してみると、1つの数字あたり4種ほどの画像が用意されているだけだとわかる。 背景のノイズのようなものも、動的に生成されてい
はてなのCAPTCHAを破るプログラムは30分で書ける - やねうらおブログ(移転しました)
CAPTCHAとは、スパムコメントなどを防止するための認証画像のことである。 それにしても、はてなのCAPTCHAはひどい。無いよりマシという考え方もあるのでそれについてはあまり議論する気は無いのだが、それにしてもこれを破るプログラムは30分あれば十分書ける。 具体的には、はてなのCAPTCHAには8つの好ましくない特徴と、2つの脆弱性がある。 ■ 8つの好ましくない特徴 ・画像自体のサイズが小さすぎる。→ こんなに小さいと探索量(計算量)が小さくて済む。 ・フォントにゆがみがない → フォントはある程度変形させたほうが良い。変形させてあるとテンプレートマッチングがしにくくなる。 ・フォントが固定。→ フォントは毎回変えたほうが良い。 ・フォントを回転させていない → フォントは文字ごとにある程度ランダムに回転させた方が良い。 ・フォントサイズが一定 → フォントサイズは文字ごとにある程度
CAPTCHA以外の掲示板スパム対策 (Re::Monologue)
運用している掲示板はCAPTCHA付き。しかし最近少しずつスパムが増えてきました。CAPTCHAは現時点での最も有効な掲示板スパム対策だと思われますが、意味をなさなくなる日も近いのかもしれません。 新たな対策ということで、MT-Keystrokesの実装をコピーしてみました。キーボード押下時に発生するイベントを使えば、IEコンポーネントを使うようなボットをしのげるのではないかと。自分で書こうと思いましたが案の定既に世の中にあった。 ということで内容は以下。MT-Keystrokesの中身そのままです。Perlで書かれていれば基本的にはどのようなタイプのプログラムにも適用できるでしょう。 <script language="JavaScript" type="text/javascript"> <!-- function keystrokes(form) { form.strokes.val
[JS]アイコンをドラッグして認証する、かわいらしいCAPTCHA
認証の流れ 音声ブラウザへの対応やマウス操作などアクセシビリティ的な弱点もありますが、アイデアやデザインはすばらしいと思います。 AJAX FANCY CAPTCHAはjQueryのため、動作にはjquery.jsが必要です。
妹認証 - 妹がBOTからプログラムを守る
妹認証とは 妹認証は、PHP用のCAPTCHAモジュールです。他のCAPTCHAモジュールとは違い、 非常に斬新なCAPTCHAです。妹認証のコンセプトは「人間的対話による認証」です。 これはネタではありません。極めて真面目なBOT対策用モジュールです これは相手が人間かどうなのかを判断する目的で開発されました。 が、一部ネタも混じっていることを白状しまs 質問文と回答文に日本語を完全にサポートします。 質問文はPHP+GD+TTFフォントで画像出力を実現しています。 また、難読化の設定も存在します。(未完成です) また、PHP初級者でもかなり簡単に設置できます。 質問文を含め「妹」はパッケージとして自由に変更可能です。 標準でバンドルされている「れいにゃ」パッケージを元に、 自分のオリジナルキャラクターのパッケージを作るのもいいと思います。 「妹」に限らず「姉」や「弟」・・・・・・・・・
妹の質問に答える非常に斬新なPHP用のCAPTCHAモジュール「妹認証」
ネタではなく極めてマジメなBOT対策用モジュール、それが「妹認証」です。 MITライセンスで無償提供されており、質問文と回答文に日本語を完全にサポートし、質問文はPHP+GD+TTFフォントで画像出力を実現。標準でバンドルされている妹の名前は「れいにゃ」となっており、質問文やキャラクターを自分でカスタマイズすることも可能です。 実際の動作デモやダウンロード、導入方法などは以下から。 妹認証 - 妹がBOTからプログラムを守る http://www.okanesuita.org/auth_sister/ 以下のリンクから動作デモを体験することができます。 動作デモ http://www.okanesuita.org/auth_sister/?#demo 質問文が表示されるので回答を入力、「送信」をクリックすると…… 成功 以下のリンクからダウンロードが可能です。 ダウンロード http://
perl で Captcha 認証(セキュリティ画像)をやる方法について
ユーザ登録とかでロボット等でのスパム登録を防止したりって用途に使われているアレです。こんなヤツ。 最近はブログのコメントとかのスパム防止でもよく見かけます。まずは基礎知識。このような画像で認証を行うことを Captcha っていいます。wikipedia の情報を引用すると、 CAPTCHA(キャプチャ、"Completely Automated Public Turing test to tell Computers and Humans Apart"; コンピュータと人間を区別する完全に自動化された公開チューリングテスト)は チャレンジ/レスポンス型テストの一種で、ユーザが人間であるかどうかを決定する計算処理に使われる。この用語はカーネギーメロン大学のLuis von Ahn、マヌエル・ブラム、Nicholas J. Hopper、IBMのJohn Langfordによって2000年に
Googleの音声CAPTCHAも破られる | スラド セキュリティ
以前GmailのCAPTCHAが破られたことが話題になった(/.の記事)が、Googleが視覚障害者向けに通常のCAPTCHAの代わりに提供している「音声CAPTCHA」も、高い確率で機械的に突破できることが実証されたそうだ(実証者のブログ記事)。音声CAPTCHAは、その名のとおり音声でランダムな数字を流し、それを入力させることでボットによる機械的なアカウント作成を防ぐものだ。数字を読み上げる裏ではランダムな音声も同時に流されるものの、数字の発音パターンは常に同じであるため、簡単な処理で機械的に読み上げられた数字を解析できてしまうそうだ。通常のCAPTCHAは、20%程度の割合でしか突破できないが、ブログで紹介されているFFTなどを用いた解析手法を用いれば90%程度の割合でCAPTCHAを突破できるとのことで、Googleだけでなく同様の音声CAPTCHAを使用しているWebサイトは早急
猫CAPTCHA | 秋元@サイボウズラボ・プログラマー・ブログ
ファイルを無料でホストできるRapidShareというサービスのキャプチャ。アップロードしたファイルを無料でダウンロードする際に、CAPTCHAの入力を求められる。がしかし、「表示された文字から、この猫マークが載っているものを選んで入力してください」というこの画像が非常にわかりづらいので話題になっている。Diggで5000diggsもつくのはなかなか見ない。 ほとんどクイズの世界だ。 via Digg [関連] 子猫認証 この記事は移転前の古いURLで公開された時のものですブックマークが新旧で分散している場合があります。移転前は現在とは文体が違い「である」調です。(参考)記事の内容が古くて役に立たなくなっている、という場合にはコメントやツイッターでご指摘いただければ幸いです。最新の状況を調べて新しい記事を書くかもしれません
画像ベースの2段階方式CAPTCHA 「IMAGINATION」 | スラド セキュリティ
本家/.より。CAPTCHAが破られるというニュースが続いていたが、ペンシルバニア州立大学が新しい画像ベースのCAPTCHAを開発し、現在特許出願中とのこと。このCAPTCHAでは、まず組み合わされた複数の画像の中からどれか一つの画像の中心をクリックし、次に表示された画像の説明をリストから選ぶという二段階の認証方式となっている。ユーザに表示される画像は、ランダム生成されたパラメータによって色が変えてあったり、関係ない質感や縁取りが表示されるようになっている。ALIPRなどの画像認証アルゴリズムでは色、質感、そして形を判別して画像の内容を判別しているが、人はそれらの情報が歪められていても画像を正しく認識できるため、このような認証方法が可能とのこと。IMAGINATIONと命名されたこのCAPTCHAはALIPRのサイトにて実際に試せるようになっているが、現在アクセス過多のため、実例画像の表示
高木浩光@自宅の日記 - CAPTCHAのレベルはblog主が選択できるようblogサービスが提供してはどうか
■ CAPTCHAのレベルはblog主が選択できるようblogサービスが提供してはどうか 先月末、江島健太郎氏の、 CAPTCHAは愚策, 江島健太郎 / Kenn's Clairvoyance, 2008年2月28日 というブログエントリが話題になっていた。そのはてなブックマークを見ると、以下のように非難轟々だった。 temtan [セキュリティ][プログラム] この人プログラム初心者って自覚あるみたいだけど、だったらこれが有効かどうかも判らないはずじゃない。なんで自信満々に言うんだろう。googleのプログラマより頭良いと思ってるのかな。★ hatest [ダメな例] Javascriptおぼえたての人は、なんでもJavascriptで出来ると思っちゃう典型的な例。Spamに狙われるような人気サービスでもない限りhttp://www.geekpage.jp/blog/のようなCaptc
CAPTCHAは愚策:江島健太郎 / Kenn's Clairvoyance - CNET Japan
最近ようやく初級プログラマーを卒業できた手応えのようなものを感じており、いよいよコードを読み書きするのが楽しくてしょうがない段階になってまいりました。 こういうとき、Rubyは初心者にもやさしいけど、上達すればどこまでも上のステージが用意されているような、まるで自然言語のようななめらかさ・しなやかさがあって、ほれぼれとします。デザインの美しいものに触れているときには人間はこんなにも幸せになれるのか、という感じですね。ときに、今回のブログネタは、デザインの悪いものに出会うとこんなにも気分が悪くなるのか、という話なのですが。 なお、新プロジェクトではデザイナーのクリスの勧めでHamlを使うことにしたり、アーキテクトのダニーの設計でJavascriptにPublish-Subscribe型の(つまり一対多の)コールバックのフレームワークを作ってみたり、ReallySimpleHistoryを使い
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Grumpy Website
今度はWindows Live HotmailのCAPTCHAがターゲットに | スラド セキュリティ