mineoマイページのbot排除システムが変わりました
本日かもしれませんが、mineoマイページのbot排除システムに変更があったようです。
従来の文字入力式から、「パズル式」になりました。
従来使われていた文字入力式は、botの画像解析技術の向上により、もはや使い物にならなくなっていました。
そこで僕は、アイデアファームに「違う方式に変えてほしい」旨を書きました。(運営事務局から「検討中」とのコメントをいただきました)
https://king.mineo.jp/my/cyatarow/ideas/38919
その結果、システムが実際に変更されました。
ただし、要望の内容(Google製のチェックボックス式システム)ではありません。
パズル式システム、正確には「Capyパズルキャプチャ」です。
・Capyパズルキャプチャとは?
https://www.capy.me/jp/products/puzzle_captcha/
Capy(キャピー)社が開発したCAPTCHAシステムで、画像の欠けている部分を、パズルのように埋める操作で認証を行う仕組みのようです。
しかし、このシステムは残念なことに、突破法が発見されています。
IVSで優勝したというパズル型CAPTCHA Capyを突破してみた(2013年の投稿)
https://news.gehirn.jp/security/513/
Vpassのパズル認証を突破する(2017年の投稿)
https://ydkk.hateblo.jp/entry/2017/08/12/044838
たった80行のプログラム(C#)で突破できたとのことです。
Capy CAPTCHAは一瞬で突破できる
http://javascripter.hatenablog.com/entry/2013/12/06/Capy_CAPTCHAは一瞬で突破できる
そもそもジグソーパズル自体が、コンピュータに解かれやすいのでCAPTCHAに適さない、という話もあるそうです。
突破法のないチェックボックス式を使うよう、もう一度アイデアファームに投稿しました。
https://king.mineo.jp/my/cyatarow/ideas/41663
パスワードの使い回しもブロックできていい感じです。
本日からですね、昨日はまだ数字入力式でした。
ログインしてみました。
数字入力は面倒だったのでこの方が楽でいいですね。
画像を選ぶように指示されることは稀で、たいていはチェックを入れるだけで認証できます。
mineoはトレンドマイクロと提携しているので、トレンドマイクロが「まともな手法」を提案するべきなのですが、この会社には期待できませんし……。
cyatarowさんが言われているのはコレかな、と思ってみました。
グーグルの写真のやつは、私時々間違えてやり直しさせられます(笑)あれ難易度高すぎます!
早とちり失礼しました……。
> パズル認証はもはや有効性がないと言われているのですが、それを
> 新規採用するというのはセキュリティに対するセンスが欠如
> していますね。
私自身詳しくないのでぜひ教えていただきたいのですが、それでは「何を使えばベスト」なんでしょうか?。
知見をお持ちだと思うのでぜひともヒントだけでもご提供いただきたいところです。
ちなみに知見無く、私怨のごとく「この会社には期待できません」と書いてしまっているのであれば、それこそ『センスが足りない』と第三者から言われてしまいますので、その辺りは良しなにお願いいたします。
> 突破法のないチェックボックス式を使うよう、もう一度アイデア
> ファームに投稿しました。
チェックボックス式のほうが既に突破されているとも言われているようですけどねえ。
実際に画像解析+チェックボックスの場所に対して何らかのキーアクションを組み合わせてしまえばパズル式と何ら変わりませんし。
細かなことを言ってしまうとキリがありませんけど最終的には1回限りの使い捨て(ワンタイムパスワード)+セッションIDの組み合わせで切り抜ける位しかある程度のセキュリティ確保は難しいのかもしれませんね。
※究極的には「面倒だからセキュリティ認証だけ VDI方式で操作」とか
やればかなり強力でしょうけどね。
むろん、VDI方式でも「VDI内でのセッションIDなり、ハイジャック
できない情報をキーに追加する」しか無いんですけどね。(苦笑)
結局「画像認識能力なりノウハウが溜まってしまえば、何をやっても
どんな方式でもロジックは同様に収斂してくる」ので、どこかで
折り合いつけるしか無いようには感じます。
トラブルが起きるケースがあるからではないでしょうか。
・reCAPTCHAの認証がうまくいかないときの対処法
https://www.kakusa-shakai.com/google-recaptcha-error
こうした事が起こるとサポートスタッフの方への負担となります。
トラブルによって採用を取りやめているサイトもある様です。
「ベストの方法」というのはなかなか難しいのですが、ベターな方法として投稿者も書かれている Google reCAPTCHA が好ましいでしょう。古い版は突破されていましたが、現在の形式はまだ突破されていません。ただし、視覚障碍者向けの音声対応版に切り替えて突破する手法はあります。
とはいえ、Kanon好きさんも書かれているように reCAPTCHA は「なかなかうざい」のが欠点です。
個人的にはログイン画面でbot排除が必要なのか疑問があります。不正ログイン防止のためなら二要素認証の方がアクセシビリティの面でも好ましいでしょう。
そもそも、eoIDパスワードの文字数制限が6文字以上16文字以内というのも問題です。最低文字数は少なくとも8文字は必要で、文字数の上限があるのはダメです。せっかくなら12文字以上上限なしにするべきだと思います。16文字使うなら記号がなくても問題ありません。
パズル認証はセゾンカードや三井住友カードが導入した時に「突破される」って話題になりましたが、そのままなので特に大きな問題になってないのではないでしょうか?
とは言っても同じブラウザからは1回パズル認証したら、次からパズル認証画面表示されないし…ってmineoのは毎回パズル認証ですかorz
ちょっとこれは改善してほしいな。