パスワードを忘れた? アカウント作成
10112868 story
ソフトウェア

QRコードを使ったワンタイムパスワード認証システムが提案される 33

ストーリー by hylom
スマホを使った認証は今後有望かも 部門より
あるAnonymous Coward 曰く、

QRコードを使った「SQRL」というユーザー認証システムが提案されている。Webサイトのログイン画面の横にQRコードを表示し、そのQRコードをスマートフォンなどの専用アプリケーションのカメラで読み込むことで認証を行うというものだ(GRC本家/.)。

スマートフォン側では専用アプリを使用し、スマートフォン側に格納されたマスター鍵とURLのドメイン名から秘密鍵を生成するとともに、サーバーに公開鍵を送信。それらを使用して署名や認証を行うという。これは通常のログイン画面と平行して簡単に設置できるとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 複数デバイス必須? (スコア:3, すばらしい洞察)

    by Lunar5 (39101) on 2013年10月21日 13時14分 (#2480753)
    PC画面のQRコードをスマホなどで読ませる場合はいいでしょうが、出先でスマホでアクセスする場合に不便そうですね。
    • by Lunar5 (39101) on 2013年10月21日 13時17分 (#2480755)
      ああ、「通常の方法と併設」か…
      親コメント
    • Re:複数デバイス必須? (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2013年10月21日 13時30分 (#2480765)

      男「最近ログインに二次元バーコードが必要なサイトがあるんだ。」
      受付嬢「へぇー」
      男「ちょっとこのサイトにログインしたいから、このバーコード撮影してくれない?」
      受付嬢「いいですよ。」ピロリンッ
      男「ありがと」
      受付嬢「いえいえ」

      男「(ログイン情報ゲットだぜ!)」

      仕組み知らず、妄想想像だけで書いてます。

      親コメント
      • Re:複数デバイス必須? (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2013年10月21日 14時50分 (#2480825)

        男「最近ログインに二次元バーコードが必要なサイトがあるんだ。」
        受付嬢「へぇー(頭を見る)」
        男「それは二次元じゃない」

        親コメント
    • by s02222 (20350) on 2013年10月21日 15時20分 (#2480839)
      最近流行りの、スマホをセキュリティトークンとするワンタイムパスワードを、より手軽にする工夫に見えます。

      画面に表示される数桁の数字をユーザがブラウザに手入力する代わりに、スマホに自動入力して貰おう、みたいな。

      スマホがユーザのブラウザを操作する良い方法はないけど、スマホからサーバを操作することは可能。 だから、サーバが覚えているセッション情報の方を操作して、ユーザのセッションをログイン処理後の状態へと遷移させてやればいい、と。
      親コメント
    • by Anonymous Coward

      つ コンパクトミラー

      • by Lunar5 (39101) on 2013年10月21日 13時42分 (#2480773)
        インカメラ必須ですか…
        いやいや、普通だとQRコードリーダー起動したらログイン画面消えますね
        画面分割機能も必須に……
        あとリーダーは反転コードも読み取れるんでしょうか(汗
        親コメント
        • by Anonymous Coward

          つ コンパクトミラー(両面)

          2つあればアウトカメラでも何とか・・・

          • by Anonymous Coward

            スマホサイトにもこの機能つけるってのは間違いだろう・・・・
            今までの方法と併設してって書いてあるし。

    • by Anonymous Coward

      The user launches their smartphone's SQRL app, and lets it see the QR code.
      (Or a smartphone / tablet user taps it. Or a laptop / desktop user clicks on it.)

      ということなので、タップするだけでもいけるようですよ?

  • こんな手間の掛かりそうな方法、いったい誰が使うんだ?
    「通常のログイン画面と平行し」ってことは、別にセキュリティが強化される訳じゃないし。

    • 例えば、通常のパスワードの方は覚えきれないぐらい長くして紙に書いて金庫にしまっといて、普段のログインにはこれを使うとか。

      めんどくさそうなのがもうちょっと何とかなればなぁ。 今だと、QRリーダを起動する操作と、起動するまでの待ち時間のせいで使う気になれなさそう。 ポケットからスマートフォンを取り出して画面に向けるだけでOK、ぐらいになればそこそこ使えそうだけど。

      どんな状態であれカメラがQRコードを捉えたら自動で動作が始まるんだと、意図せず読み込まされる可能性が危ないから、 指紋認証付きのボタンを押させるとかもういくつかの工夫は要るだろうけど。
      親コメント
    • by Anonymous Coward

      トークンに表示されたワンタイムパスワードを手打ちするよりは楽・・・かもしれません

  • おんなじようなもんを作って提案したことあるけど
    「仕様が知られているリスク&特許関連でのリスク」
    ゆえにお蔵入りになったなー

    // 端末側に秘密鍵あったらあんまり意味なくね?(:>^

    • by Anonymous Coward

      QRコードは情報の符号化画像化に関する方式であって、
      そこにどのような情報を載せるかは全くの任意であるわけですが、
      いったい何がリスク扱いされたのですか?

      「よくわかんないけどQRコードはデンソーが特許技術だって言ってるから使うのやめとこうぜ」
      以外の推測ができません。

      • QRコードはあくまで商標で特許的な意味では割と緩いんだけども
        デコードエンコードに手を加えるとアウト。知財管理上まずいでしょ?
        堅牢性向上のために使いたいのにユーザフレンドリーでない状態にしてわざわざトラブルを増やすこたーないってこともある。

        あとデンソーが金輪際何百年と特許を主張しないと信じる君はとても善人ですね?

        親コメント
        • by Anonymous Coward

          センセー、特許って、そんなに長い期間有効なのですか?

          • しらんがな('・ω・`) 20年でしょ確か

            どっちにしろデンソーが商標持ってる限りデコード方法を変えたQRコード亜種はQRコードとして売り出せないし
            商売する上だと日本だけの法律ばかり知ってもしょうがないし僕もそこまで知らんし
            商売にしたいんだったらそこまで外堀埋めないと実現できないよね、って突込みだとわかってほしいなー

            親コメント
            • by Anonymous Coward

              デコード方法を変える理由なんか全然無いやん…

            • by Anonymous Coward

              QRコードに格納するデータ自体に暗号化処理を施せばいいだけの話でしょう。
              (少なくとも、ウチではそうしてます)
              亜種を作る必要などありません。

              • by Anonymous Coward

                そのための?秘密鍵を?クライアントに持たせるの?え?大丈夫?

  • >サーバーに公開鍵を送信。

    って、この「サーバー」とやらがニセモノ(フィッシング・サイト)だったら、困るような気がするが。
    --
    iida
  • by nanno (17292) on 2013年10月21日 16時40分 (#2480919)

    はやりのLINEのMac用アプリでこの認証が使えますね。

  • by Anonymous Coward on 2013年10月21日 13時54分 (#2480786)

    その認証に使うスマホやタブレットこそが情報漏洩の温床だってのに、そんなデバイスを認証に使うとか本末転倒にもほどがあるだろ?
    カメラから読み込んだQRコードやスマホから送信される公開鍵が盗聴されてないと一体全体どうやって保証すんだ?
    経路をどれだけ暗号化しようと認証に使うデバイス内のアプリがマルウェアだらけなんだ。まずその大前提を忘れるな。

    更に言えば、こんな馬鹿な認証方法考えた奴の運営するサイトがまともに個人情報を管理できると思う?
    スマホと対になった個人情報は、間違いなく近日中に盛大に漏れだすことだろう。

    つーか昼飯食ったばっかなのにあんまり笑わすなよ。腹が痛え。

    • by ksiroi (24990) on 2013年10月21日 14時10分 (#2480795) 日記

      結局これよなー
      ガラケーの組み込み機能みたいなのだったらまだイケたかもしれんけど、スマホだとなー
      フェイクとか作り放題だよねー。しかもQRコード見て「あっ!これは偽造だっ!」って気づくすべがないという。

      ワンタイムパス設定してても盗まれるパターンで一番多いのは端末の物理的な貸し借りらしいよ。
      被害者は大人より子供の方が多いんじゃないかなー
      暗号化云々とか頑張ってもしょうがないのが実情だと思うなー

      // どうしろと(:>^

      親コメント
    • by Anonymous Coward

      QRコードは漏れてもログインできるのはPC端末側なんだから被害なんか出ようが無くて、
      公開鍵はそもそも「公開」しても問題ない鍵なので盗聴どころか漏洩以前に Web サーバーに実名付けてアップロードしても問題無いし、
      問題があるとすればスマホ・タブレット側に格納した秘密鍵が取られる可能性についてだろう。

      スマホでは危なすぎて銀行などのログインに使えない、というのはその通りだが、
      例えばスラドのログインとかに採用されたら便利だし私はきっと使うと思うよ。
      ネットカフェとか公共端末でログインするときにはパスワードをキーボードで
      打つより、QRコードでチャレンジをPCに送ってスマホからレスポンス、という
      仕組みの方がまだしも信頼できる。

    • by Anonymous Coward

      公開鍵が盗聴とか対抗してウケ狙わなくてもいいじゃん笑い死にさせる気ですか

    • by Anonymous Coward

      誰にでも間違いはある。
      でもこのコメントは間違っているだけでなく、その自分の間違いをもとに「アホか」と相手を小馬鹿にしているのが悪質だな。
      ウェブの世界からこういう奴がいなくなってくれるといいんだけど

  • by Anonymous Coward on 2013年10月21日 17時13分 (#2480956)

    スマートフォン側では専用アプリを使用し、スマートフォン側に格納されたマスター鍵とURLのドメイン名から秘密鍵を生成するとともに、サーバーに公開鍵を送信。それらを使用して署名や認証を行うという。

  • by Anonymous Coward on 2013年10月22日 14時33分 (#2481614)

    スマホでなくGoogle Glassみたいなデバイスで使えると、スマホを取り出す面倒くささまで解消できそうですね。

  • by Anonymous Coward on 2013年10月22日 14時56分 (#2481644)

    スマートフォンが送る公開鍵はそのWebサイトをみた人ってことだけで
    ユーザーが特定できない気がするのですが、だれか仕組みを教えてください

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...