非テキストパスワード
JSSMから非テキストパスワードというのが、提言されている。
http://www.jssm.net/jssm/anniver25_03.pdf
文字の変わりに、画像を使用しようという物。念の為に記載するが、いわゆる画像認証の事では無い。
が、これって比較的簡単に破れそうな気がする。提言では、概念のみの説明に終始していて、具体的な使用方法の説明が無い。が、Web側で用意した画像から好みの画像を登録する方式では、やはり記憶出来ないから、ユーザが自前の画像を登録するとしか考えようがないので、凡そ、以下のような手順だろう。
- 自前の画像を数点登録する。
- ログイン時に、ダミー画像を含めた画像から、登録した画像をチェックする。
- 正解なら、ログイン。
問題なのは、ログイン時に表示される画像で、登録画像とダミー画像の混在となるが、頻繁にアクセスしてダミー画像のデータベースを作るとどうなるだろうか。出現頻度の高いのがダミー、低いのが登録画像だから、簡単に破れる。つまり、ダミー画像の頻度を登録画像なみに抑える必要が有るのだが、そんなことは可能だろうか。結局の所、ダミー画像の使い回しは出来ない。
さらに、登録画像とダミー画像の画像としての傾向が別だと、簡単に見破られるから、車とかペットとか特定カテゴリに限定するか、両者共に複数のカテゴリの画像を用意しないと、これ又、一発で見破られる。
又、画像に絵を使用すると個人特有の癖が有るだろうから、見破れる可能性が高いので写真となるが、写真にも癖や内容の傾向が出る可能性は十分に考えられ、見破られる可能性が有り得る。
では、ダミーもユーザが用意するとしたらどうだろうか。この場合は、どれがパスワードとして登録した画像かが、判らなくなくなる可能性が有り、テキストと同じ問題が発生する事となる。
さらに、この方法は、近親者なら比較的簡単に見破られる可能性が有るという、根本的な問題を抱えている。その他にも、小さい端末では使えないとか、そもそも、登録が面倒とか、色々ある。
そして、最大の問題は、バリアフリーに配慮していないという点だ。いづれにしろ、素人の私でも、上記のような疑問が浮かぶので、具体的な手順を記載してもらわないと、何とも言えないが、多分、現実性は無いのではないかと思う。
尚、画像の傾向や癖は機械には無理と思われる方がいらっしゃるかもしれないが、実は、簡単に解析出来る。例えば、ログイン画面の画像を、別のWebに転送し、[ この画像パスワードを破った方には賞品が出ます ]などとして、何も知らない一般ユーザに解かせればよいのだ。実際、画像認証などは、この方法で破られている。