■ このスレッドは過去ログ倉庫に格納されています
サイトのログイン認証について思いついたから共有する
- 1 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 04:48:33.16 ID:JK6Y+TzL0.net
- 基本的にIDパスが管理サーバーから流出することで盗まれるから
画像の任意の位置をクリックする認証動作を追加して
それを別のセキュリティと暗号化を採用した別のサーバーに保存して
二段階認証にしたら良いんじゃなかろうか
クリックする位置は自分で選べてワンクリックで認証出来るからユーザーの負担も少ない
何なら別会社としてその認証をサービスとして販売しても良いかも
どう?
- 2 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 04:50:16.08 ID:13MrAy370.net
- 適当にクリックしまくるだけで突破できる気がするんだが
- 3 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 04:50:37.68 ID:GKzYYsGE0.net
- >>2
読んで思ったのはこれ
- 4 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 04:51:21.61 ID:JK6Y+TzL0.net
- 表示される画像は数百枚の中からランダムで選ばれたその人用の一枚
初回設定時にクリックする場所を記録して保存
クリックすることで本サービスのその人用に生成されたIDパスの認証サーバーに移動
- 5 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 04:51:55.97 ID:ij0Gfkx/0.net
- おっぱい画像で乳首クリック
星型マークが付いてたらギンギン
駄目だこりゃ
- 6 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 04:52:18.90 ID:JK6Y+TzL0.net
- >>2-3
間違いクリックは3回まで
3回目のクリックで警告ページへ移動しアクセスログを記録
管理担当者に通知
- 7 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 04:53:40.05 ID:JK6Y+TzL0.net
- アクセスログのデバイス構成やIPが過去のログイン時と食い違っていたら本人に通知して確認
ここまで自動で可能
- 8 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 04:53:46.64 ID:IGrsFja90.net
- 画像とクリック位置を紐付けたデータが流出したら一緒じゃね?
- 9 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 04:55:08.75 ID:KKB3YcOd0.net
- 数字やアルファベットを加工して見づらくした画像を表示して、その文字列を入力させたらどうかな
- 10 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 04:56:27.54 ID:JK6Y+TzL0.net
- >>8
IDパスやメールアドレスとは別サーバー(暗号化方式もセキュリティも別物)に保存されているから
同時に両方流出することはほぼ無い
クラッカーもそうホイホイどんなサーバーからでも盗める訳じゃないし
- 11 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 04:57:46.58 ID:JK6Y+TzL0.net
- >>9
それはボット対策であって認証とは関係ない
ちなみに同時にボット対策にもなるから、あの見づらい面倒な画像認証が不要になる
- 12 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 04:58:07.16 ID:1NKDffYX0.net
- ワンタイムパスでいいよ
- 13 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:00:09.54 ID:KKB3YcOd0.net
- 生体認証でいんじゃね
- 14 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:01:11.16 ID:JK6Y+TzL0.net
- ちなみにこの画像クリック認証はWindows8.1で採用されているけど
それは画像クリックだけで認証を通るシステム
俺が言ってるのはWEBサービスのログイン時にIDパスと併用する形での画像クリック認証
しかも高セキュリティの別会社としてサービスを提供することで
新しいビジネスモデルになりうる
- 15 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:03:48.26 ID:JK6Y+TzL0.net
- >>13
生体認証が一番いいけど
それを読み込むデバイスがすべての電子機器に普及するとは思えない
統一規格もふわふわしてるし、生体認証データも結局はデータ化して送信する訳だから
それはそれで盗まれて悪用される危険はある
- 16 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:05:09.68 ID:S1+EpWxj0.net
- もし突破された場合の損害負担やばくね?
- 17 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:06:49.59 ID:JK6Y+TzL0.net
- という素晴らしいアイディアを無償でオープンに公開してみました
現時点で同じ方式が実用されていないので
WEBスタンダードとして普及することを願っています
- 18 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:08:18.90 ID:JK6Y+TzL0.net
- >>16
突破も流出も想定内
「IDパスと同時に流出することが無い」というのが売り
片方突破や流出してもログイン出来ないんだよ
- 19 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:10:41.57 ID:JK6Y+TzL0.net
- スマホアプリでも一時的に外部サーバーに接続して認証するから安全安心
- 20 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:11:04.13 ID:/LPlE+u40.net
- イベントリスナーから簡単に見つけ出せると思う
- 21 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:11:20.36 ID:8ET7EUIb0.net
- もうパスワード100個ぐらい打ち込めばよくね
- 22 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:13:03.13 ID:JK6Y+TzL0.net
- >>20
ローカルのデバイス自体が乗っ取られてる場合は無理だよ
あくまでサーバーハッキングによるIDパス流出対策
- 23 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:14:38.96 ID:JK6Y+TzL0.net
- >>21
IDパスは同一サーバー内で処理・管理されるから100個設定しても100個盗まれるよ
このアイディアは簡単操作でユーザーに負担無く別サーバーによる二段階認証を付加するというもの
- 24 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:14:40.64 ID:/LPlE+u40.net
- ああ追加か
- 25 :以下、転載厳禁でVIPがお送りします:2014/09/14(日) 05:16:02.24 ID:cAt+k2os0.net
- IDパスとメールアドレスを別サーバーに保存すればいいんじゃね?
- 26 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:16:07.88 ID:Qm8HWcau0.net
- リッチマンプアウーマン
- 27 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:17:28.63 ID:y5zLC56Z0.net
- こういうサイトが増えてきたらユーザー側からしたら結局どのサイトでも同じ場所をクリックするように設定しちゃうんだろうから
一つのサイトで破られたら他のサイトでも破られる可能性高そうだな
- 28 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:18:04.64 ID:JK6Y+TzL0.net
- ちなみにメルアドをGmail、パスワードをGmailで使ってるのと同じものを
小さな会社のWEBサービスに登録したためGmailのデータが流出するという場合もあるけど
この画像クリック認証を追加することで、そういった「同じIDパスを使い回してどこかで流出」しても
これで防げる
- 29 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:18:59.41 ID:IGrsFja90.net
- >>18
まずDB1に対して画像クリックした情報からそいつ専用のPkey呼び出す必要があるじゃん
んでDB2に対してDB1で得たPkey付きで入力したIDパスと一致する値があるかを調べる必要があるじゃん
でこれの利点?がDB1とDB2から同時に漏れないってことなんだろうけどさ
そもそも特定の個人を割り出したいって需要が無かったら画像クリックした時点で得たPkeyからDB2を走査するだけでいいから
結局DB2だけ割れればよくね?って思うんだけど
- 30 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:22:40.37 ID:JK6Y+TzL0.net
- >>25
そうなんだけどそれはそれで面倒でほとんどの企業は同じサーバーで管理してる
>>26
見た見た
あれはマウスの動きだけで認証するヤツね
Windows8.1の認証とほぼ同じ
上でも言ってるけどこれはWEBサービス向けのIDパスの補助
>>27
画像はランダムだから、他のサイトでは別の画像になる
画像をワンクリックする位置はその人に見える特徴的な場所になるので
個々で違うが意外と覚えられるし忘れないと思う
今は単なる思いつきだから実証が必要だけど
概ね上手くいくはず
- 31 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:23:57.19 ID:cauolzb00.net
- じゃあ、作ればよくね?
- 32 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:26:09.94 ID:w5/U+0nS0.net
- >>30
ユーザー側からすればサイトごとにいろんな画像が増えて
その画像ごとにクリックする位置を覚えておくのって
結構面倒臭いし画像に思い入れもないからすぐ忘れそう
だからランダムな画像が出てきても同じ場所をクリックするように設定しちゃう
俺ならそうする
- 33 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:27:32.38 ID:JK6Y+TzL0.net
- >>29
内部の動作は考えて無かったけど
紐付け方次第で走査出来ないようにすることも可能なんじゃないの?
ちなみにプログラマじゃないから細かいことは分からんけど
あくまで方式のアイディアってだけ
- 34 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:28:44.98 ID:pG9Mc2st0.net
- 文字入力あるやん
- 35 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:29:53.62 ID:JK6Y+TzL0.net
- >>31
アイディアを思いついたから共有したかっただけ
作る技術も資金も無いですがな
>>32
何も無い場所をクリックすることって無いと思うんだ
たとえば人体なら口だったりおっぱいだったりするだろうけど、犬なら鼻になったり
その人の画像から得た印象や趣向で一番目立つところをクリックするから
意外と忘れないし、ランダム性を得られると思う
- 36 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:31:11.12 ID:IGrsFja90.net
- >>33
一回画像認証通ったあとに文字入力させるからどーなんだろ思いつかね
- 37 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:32:03.12 ID:w5/U+0nS0.net
- 毎回決まった何もない場所を設定する方が楽でいい
- 38 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:36:15.24 ID:JK6Y+TzL0.net
- >>36
先にIDパスで認証→ログインページをサーバー内で生成→画像クリックサーバーに移動→生成されたページへ戻りクリックサーバーからの返り値で認証完了
みたいな?
プログラマじゃないからぶっちゃけその辺も作る人次第だね
- 39 :以下、\(^o^)/でVIPがお送りします:2014/09/14(日) 05:49:34.99 ID:JK6Y+TzL0.net
- さて、じゃあこのアイディアはこんな感じで
また違うアイディアがあるので別スレ立てました
http://viper.2ch.net/test/read.cgi/news4vip/1410641340/
総レス数 39
11 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★