QRコードを使った「SQRL」というユーザー認証システムが提案されている。Webサイトのログイン画面の横にQRコードを表示し、そのQRコードをスマートフォンなどの専用アプリケーションのカメラで読み込むことで認証を行うというものだ(GRC、本家/.)。
スマートフォン側では専用アプリを使用し、スマートフォン側に格納されたマスター鍵とURLのドメイン名から秘密鍵を生成するとともに、サーバーに公開鍵を送信。それらを使用して署名や認証を行うという。これは通常のログイン画面と平行して簡単に設置できるとしている。
複数デバイス必須? (スコア:3, すばらしい洞察)
Re:複数デバイス必須? (スコア:1)
Re:複数デバイス必須? (スコア:1, おもしろおかしい)
男「最近ログインに二次元バーコードが必要なサイトがあるんだ。」
受付嬢「へぇー」
男「ちょっとこのサイトにログインしたいから、このバーコード撮影してくれない?」
受付嬢「いいですよ。」ピロリンッ
男「ありがと」
受付嬢「いえいえ」
男「(ログイン情報ゲットだぜ!)」
仕組み知らず、
妄想想像だけで書いてます。Re:複数デバイス必須? (スコア:2, おもしろおかしい)
男「最近ログインに二次元バーコードが必要なサイトがあるんだ。」
受付嬢「へぇー(頭を見る)」
男「それは二次元じゃない」
Re:複数デバイス必須? (スコア:1)
画面に表示される数桁の数字をユーザがブラウザに手入力する代わりに、スマホに自動入力して貰おう、みたいな。
スマホがユーザのブラウザを操作する良い方法はないけど、スマホからサーバを操作することは可能。 だから、サーバが覚えているセッション情報の方を操作して、ユーザのセッションをログイン処理後の状態へと遷移させてやればいい、と。
Re: (スコア:0)
つ コンパクトミラー
Re:複数デバイス必須? (スコア:1)
いやいや、普通だとQRコードリーダー起動したらログイン画面消えますね
画面分割機能も必須に……
あとリーダーは反転コードも読み取れるんでしょうか(汗
すまない (スコア:0)
つ コンパクトミラー(両面)
2つあればアウトカメラでも何とか・・・
Re: (スコア:0)
スマホサイトにもこの機能つけるってのは間違いだろう・・・・
今までの方法と併設してって書いてあるし。
Re: (スコア:0)
The user launches their smartphone's SQRL app, and lets it see the QR code.
(Or a smartphone / tablet user taps it. Or a laptop / desktop user clicks on it.)
ということなので、タップするだけでもいけるようですよ?
想像力が足りないせいかもしれないが・・・ (スコア:1)
こんな手間の掛かりそうな方法、いったい誰が使うんだ?
「通常のログイン画面と平行し」ってことは、別にセキュリティが強化される訳じゃないし。
Re:想像力が足りないせいかもしれないが・・・ (スコア:1)
めんどくさそうなのがもうちょっと何とかなればなぁ。 今だと、QRリーダを起動する操作と、起動するまでの待ち時間のせいで使う気になれなさそう。 ポケットからスマートフォンを取り出して画面に向けるだけでOK、ぐらいになればそこそこ使えそうだけど。
どんな状態であれカメラがQRコードを捉えたら自動で動作が始まるんだと、意図せず読み込まされる可能性が危ないから、 指紋認証付きのボタンを押させるとかもういくつかの工夫は要るだろうけど。
Re: (スコア:0)
トークンに表示されたワンタイムパスワードを手打ちするよりは楽・・・かもしれません
QRコードっつーとデンソーの影ががが (スコア:1)
おんなじようなもんを作って提案したことあるけど
「仕様が知られているリスク&特許関連でのリスク」
ゆえにお蔵入りになったなー
// 端末側に秘密鍵あったらあんまり意味なくね?(:>^
Re: (スコア:0)
QRコードは情報の符号化画像化に関する方式であって、
そこにどのような情報を載せるかは全くの任意であるわけですが、
いったい何がリスク扱いされたのですか?
「よくわかんないけどQRコードはデンソーが特許技術だって言ってるから使うのやめとこうぜ」
以外の推測ができません。
Re:QRコードっつーとデンソーの影ががが (スコア:1)
QRコードはあくまで商標で特許的な意味では割と緩いんだけども
デコードエンコードに手を加えるとアウト。知財管理上まずいでしょ?
堅牢性向上のために使いたいのにユーザフレンドリーでない状態にしてわざわざトラブルを増やすこたーないってこともある。
あとデンソーが金輪際何百年と特許を主張しないと信じる君はとても善人ですね?
Re: (スコア:0)
センセー、特許って、そんなに長い期間有効なのですか?
Re:QRコードっつーとデンソーの影ががが (スコア:1)
しらんがな('・ω・`) 20年でしょ確か
どっちにしろデンソーが商標持ってる限りデコード方法を変えたQRコード亜種はQRコードとして売り出せないし
商売する上だと日本だけの法律ばかり知ってもしょうがないし僕もそこまで知らんし
商売にしたいんだったらそこまで外堀埋めないと実現できないよね、って突込みだとわかってほしいなー
Re: (スコア:0)
デコード方法を変える理由なんか全然無いやん…
Re:QRコードっつーとデンソーの影ががが (スコア:1)
デンソーリスクの影響下から逃れるというのは理由にならんかね・・・
僕は一体何と戦っているんだ・・・
Re: (スコア:0)
QRコードに格納するデータ自体に暗号化処理を施せばいいだけの話でしょう。
(少なくとも、ウチではそうしてます)
亜種を作る必要などありません。
Re: (スコア:0)
そのための?秘密鍵を?クライアントに持たせるの?え?大丈夫?
サーバーに公開鍵を送信 (スコア:1)
って、この「サーバー」とやらがニセモノ(フィッシング・サイト)だったら、困るような気がするが。
iida
LINE on Mac (スコア:1)
はやりのLINEのMac用アプリでこの認証が使えますね。
アホか(笑) (スコア:0, 興味深い)
その認証に使うスマホやタブレットこそが情報漏洩の温床だってのに、そんなデバイスを認証に使うとか本末転倒にもほどがあるだろ?
カメラから読み込んだQRコードやスマホから送信される公開鍵が盗聴されてないと一体全体どうやって保証すんだ?
経路をどれだけ暗号化しようと認証に使うデバイス内のアプリがマルウェアだらけなんだ。まずその大前提を忘れるな。
更に言えば、こんな馬鹿な認証方法考えた奴の運営するサイトがまともに個人情報を管理できると思う?
スマホと対になった個人情報は、間違いなく近日中に盛大に漏れだすことだろう。
つーか昼飯食ったばっかなのにあんまり笑わすなよ。腹が痛え。
Re:アホか(笑) (スコア:2)
結局これよなー
ガラケーの組み込み機能みたいなのだったらまだイケたかもしれんけど、スマホだとなー
フェイクとか作り放題だよねー。しかもQRコード見て「あっ!これは偽造だっ!」って気づくすべがないという。
ワンタイムパス設定してても盗まれるパターンで一番多いのは端末の物理的な貸し借りらしいよ。
被害者は大人より子供の方が多いんじゃないかなー
暗号化云々とか頑張ってもしょうがないのが実情だと思うなー
// どうしろと(:>^
Re: (スコア:0)
QRコードは漏れてもログインできるのはPC端末側なんだから被害なんか出ようが無くて、
公開鍵はそもそも「公開」しても問題ない鍵なので盗聴どころか漏洩以前に Web サーバーに実名付けてアップロードしても問題無いし、
問題があるとすればスマホ・タブレット側に格納した秘密鍵が取られる可能性についてだろう。
スマホでは危なすぎて銀行などのログインに使えない、というのはその通りだが、
例えばスラドのログインとかに採用されたら便利だし私はきっと使うと思うよ。
ネットカフェとか公共端末でログインするときにはパスワードをキーボードで
打つより、QRコードでチャレンジをPCに送ってスマホからレスポンス、という
仕組みの方がまだしも信頼できる。
Re: (スコア:0)
公開鍵が盗聴とか対抗してウケ狙わなくてもいいじゃん笑い死にさせる気ですか
Re: (スコア:0)
誰にでも間違いはある。
でもこのコメントは間違っているだけでなく、その自分の間違いをもとに「アホか」と相手を小馬鹿にしているのが悪質だな。
ウェブの世界からこういう奴がいなくなってくれるといいんだけど
セキュリティホールがあるな (スコア:0)
スマートフォン側では専用アプリを使用し、スマートフォン側に格納されたマスター鍵とURLのドメイン名から秘密鍵を生成するとともに、サーバーに公開鍵を送信。それらを使用して署名や認証を行うという。
Re: (スコア:0)
ど こ に ?
スマホでなくGoogle Glass (スコア:0)
スマホでなくGoogle Glassみたいなデバイスで使えると、スマホを取り出す面倒くささまで解消できそうですね。
ユーザー特定する仕組みがわからない (スコア:0)
スマートフォンが送る公開鍵はそのWebサイトをみた人ってことだけで
ユーザーが特定できない気がするのですが、だれか仕組みを教えてください