掲示板

mineoマイページのbot排除システムが変わりました

cyatarow
cyatarowさん
Gマスター
掲示板のURLをコピー

20181023a.png

本日かもしれませんが、mineoマイページのbot排除システムに変更があったようです。
従来の文字入力式から、「パズル式」になりました。

従来使われていた文字入力式は、botの画像解析技術の向上により、もはや使い物にならなくなっていました。
そこで僕は、アイデアファームに「違う方式に変えてほしい」旨を書きました。(運営事務局から「検討中」とのコメントをいただきました)
https://king.mineo.jp/my/cyatarow/ideas/38919

その結果、システムが実際に変更されました。
ただし、要望の内容(Google製のチェックボックス式システム)ではありません。
パズル式システム、正確には「Capyパズルキャプチャ」です。

・Capyパズルキャプチャとは?
https://www.capy.me/jp/products/puzzle_captcha/
Capy(キャピー)社が開発したCAPTCHAシステムで、画像の欠けている部分を、パズルのように埋める操作で認証を行う仕組みのようです。


しかし、このシステムは残念なことに、突破法が発見されています。

IVSで優勝したというパズル型CAPTCHA Capyを突破してみた(2013年の投稿)
https://news.gehirn.jp/security/513/

Vpassのパズル認証を突破する(2017年の投稿)
https://ydkk.hateblo.jp/entry/2017/08/12/044838
たった80行のプログラム(C#)で突破できたとのことです。

Capy CAPTCHAは一瞬で突破できる
http://javascripter.hatenablog.com/entry/2013/12/06/Capy_CAPTCHAは一瞬で突破できる
そもそもジグソーパズル自体が、コンピュータに解かれやすいのでCAPTCHAに適さない、という話もあるそうです。

突破法のないチェックボックス式を使うよう、もう一度アイデアファームに投稿しました。
https://king.mineo.jp/my/cyatarow/ideas/41663


チップについて
2
ナイス!
24

お気に入り
2
11 件のコメント
1 - 11 / 11
パイク
パイクさん
エンペラー
コメントのURLをコピー
ログインしてみました。
パスワードの使い回しもブロックできていい感じです。
チップについて
0
ナイス!
8
返信
TMスナイパー
Gマスター
コメントのURLをコピー
知りませんでした。
本日からですね、昨日はまだ数字入力式でした。

ログインしてみました。
数字入力は面倒だったのでこの方が楽でいいですね。
チップについて
0
ナイス!
7
返信
cyatarow
cyatarowさん・投稿者
Gマスター
コメントのURLをコピー
ピカリさん
画像を選ぶように指示されることは稀で、たいていはチェックを入れるだけで認証できます。
チップについて
0
ナイス!
6
返信
ゆりこネット@4月充電期間
Gマスター
コメントのURLをコピー
パズル認証はもはや有効性がないと言われているのですが、それを新規採用するというのはセキュリティに対するセンスが欠如していますね。
mineoはトレンドマイクロと提携しているので、トレンドマイクロが「まともな手法」を提案するべきなのですが、この会社には期待できませんし……。
チップについて
0
ナイス!
8
返信
とに
とにさん
Gマスター
コメントのURLをコピー
んー、チェック式って、四角が4つくらい並んでいて、その中に絵が書いてある(毎回個数と位置はランダム)もので、絵の部分をチェックするタイプのものを見たことがあります。
cyatarowさんが言われているのはコレかな、と思ってみました。

グーグルの写真のやつは、私時々間違えてやり直しさせられます(笑)あれ難易度高すぎます!
チップについて
0
ナイス!
4
返信
とに
とにさん
Gマスター
コメントのURLをコピー
あっ、はっきりグーグルのチェックボックスって書いてある。
早とちり失礼しました……。
チップについて
0
ナイス!
4
返信
ばななめろん
SGマスタ
コメントのURLをコピー
ゆりこネットさん>
> パズル認証はもはや有効性がないと言われているのですが、それを
> 新規採用するというのはセキュリティに対するセンスが欠如
> していますね。

私自身詳しくないのでぜひ教えていただきたいのですが、それでは「何を使えばベスト」なんでしょうか?。
知見をお持ちだと思うのでぜひともヒントだけでもご提供いただきたいところです。

ちなみに知見無く、私怨のごとく「この会社には期待できません」と書いてしまっているのであれば、それこそ『センスが足りない』と第三者から言われてしまいますので、その辺りは良しなにお願いいたします。
チップについて
0
ナイス!
4
返信
ばななめろん
SGマスタ
コメントのURLをコピー
cyatarowさん>
> 突破法のないチェックボックス式を使うよう、もう一度アイデア
> ファームに投稿しました。

チェックボックス式のほうが既に突破されているとも言われているようですけどねえ。
実際に画像解析+チェックボックスの場所に対して何らかのキーアクションを組み合わせてしまえばパズル式と何ら変わりませんし。

細かなことを言ってしまうとキリがありませんけど最終的には1回限りの使い捨て(ワンタイムパスワード)+セッションIDの組み合わせで切り抜ける位しかある程度のセキュリティ確保は難しいのかもしれませんね。

※究極的には「面倒だからセキュリティ認証だけ VDI方式で操作」とか
 やればかなり強力でしょうけどね。
 むろん、VDI方式でも「VDI内でのセッションIDなり、ハイジャック
 できない情報をキーに追加する」しか無いんですけどね。(苦笑)
 結局「画像認識能力なりノウハウが溜まってしまえば、何をやっても
 どんな方式でもロジックは同様に収斂してくる」ので、どこかで
 折り合いつけるしか無いようには感じます。
チップについて
0
ナイス!
7
返信
Kanon好き
SGマスタ
コメントのURLをコピー
reCAPTCHAが採用されないのは、人が操作しているのに認証が上手くいかない
トラブルが起きるケースがあるからではないでしょうか。

・reCAPTCHAの認証がうまくいかないときの対処法
https://www.kakusa-shakai.com/google-recaptcha-error

こうした事が起こるとサポートスタッフの方への負担となります。
トラブルによって採用を取りやめているサイトもある様です。
チップについて
0
ナイス!
1
返信
ゆりこネット@4月充電期間
Gマスター
コメントのURLをコピー
ばななめろんさん

「ベストの方法」というのはなかなか難しいのですが、ベターな方法として投稿者も書かれている Google reCAPTCHA が好ましいでしょう。古い版は突破されていましたが、現在の形式はまだ突破されていません。ただし、視覚障碍者向けの音声対応版に切り替えて突破する手法はあります。

とはいえ、Kanon好きさんも書かれているように reCAPTCHA は「なかなかうざい」のが欠点です。

個人的にはログイン画面でbot排除が必要なのか疑問があります。不正ログイン防止のためなら二要素認証の方がアクセシビリティの面でも好ましいでしょう。

そもそも、eoIDパスワードの文字数制限が6文字以上16文字以内というのも問題です。最低文字数は少なくとも8文字は必要で、文字数の上限があるのはダメです。せっかくなら12文字以上上限なしにするべきだと思います。16文字使うなら記号がなくても問題ありません。
チップについて
0
ナイス!
1
返信
たか.@
たか.@さん
マスター
コメントのURLをコピー
今まで導入していた番号入力式は毎回入力した番号がブラウザに記録されていて「うざ」ってなってたので、改善されて良かったです。
パズル認証はセゾンカードや三井住友カードが導入した時に「突破される」って話題になりましたが、そのままなので特に大きな問題になってないのではないでしょうか? 
とは言っても同じブラウザからは1回パズル認証したら、次からパズル認証画面表示されないし…ってmineoのは毎回パズル認証ですかorz
ちょっとこれは改善してほしいな。
チップについて
0
ナイス!
3
返信
コメントするには、ログインまたはメンバー登録(無料)が必要です。